[求助]关于 SSDT Hook-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
myhandsome 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	myhandsome 2 楼大大们在哪里... 2013-4-8 16:16 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 3 楼如果楼主懂内核下， Nt* 系列函数和 Zw*系列函数的区别，这个问题就迎刃而解了。。 PS:(PUCHAR)MmGetSystemRoutineAddress(&strFuncName) 如果得到的是NULL，必蓝。 2013-4-8 16:35 0
myhandsome 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	myhandsome 4 楼我看了好久nt和zw函数的区别包括内核态和用户态调用他们的时候的区别但是还是不知道这里为什么写zw行写nt不行求大大点拨一下下谢谢 2013-4-8 17:15 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 5 楼在NTDLl里Zw和Nt是一样的,指到同一地址. 内核里不同, SSDT里是NtXxx, Zw和NTDLL的Zw差不多, 你那段代码就是取调用号, Zw才有相应的代码 Zw版本执行时,又会到KiFastCallEntry转一圈,最后执行Nt版本。这么做的目的是在栈上构造KTRAP_FRAME, 此时其PreviousMode会是KernelMode (若为UserMode时NtXxx会Probe参数) 你自己翻翻WRK好了。 2013-4-8 18:07 0
myhandsome 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	myhandsome 6 楼谢谢回答~好像明白了~ 2013-4-9 10:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
myhandsome 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	myhandsome 2 楼大大们在哪里... 2013-4-8 16:16 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 3 楼如果楼主懂内核下， Nt* 系列函数和 Zw*系列函数的区别，这个问题就迎刃而解了。。 PS:(PUCHAR)MmGetSystemRoutineAddress(&strFuncName) 如果得到的是NULL，必蓝。 2013-4-8 16:35 0
myhandsome 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	myhandsome 4 楼我看了好久nt和zw函数的区别包括内核态和用户态调用他们的时候的区别但是还是不知道这里为什么写zw行写nt不行求大大点拨一下下谢谢 2013-4-8 17:15 0
SdKfz 雪币： 1 活跃值： (1174) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 81 粉丝 2 关注私信	SdKfz 5 楼在NTDLl里Zw和Nt是一样的,指到同一地址. 内核里不同, SSDT里是NtXxx, Zw和NTDLL的Zw差不多, 你那段代码就是取调用号, Zw才有相应的代码 Zw版本执行时,又会到KiFastCallEntry转一圈,最后执行Nt版本。这么做的目的是在栈上构造KTRAP_FRAME, 此时其PreviousMode会是KernelMode (若为UserMode时NtXxx会Probe参数) 你自己翻翻WRK好了。 2013-4-8 18:07 0
myhandsome 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	myhandsome 6 楼谢谢回答~好像明白了~ 2013-4-9 10:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]关于 SSDT Hook 0.00雪花