内核编程如何使用未导出的数据结构-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 2 楼 wrk不是有吗，拿来直接用呗 2013-5-9 23:38 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 3 楼 1.解析微软公共调试符号服务上的.pdb，得到。 2.很多未导出的结构随Windows NT内核版本变化而变化，甚至Vista和Win7上都会有差异，想要直接使用完整的结构体比较麻烦，通常的情况下是事先记录下不同版本的系统中要使用的几个成员的偏移，然后用指针+偏移访问要用到的几个成员。 3.很多结构体未导出，但它么的指针在wdm.h之类的头文件中有定义。 4.WRK中的结构体可以作为参考，但只适用于Windows NT 5.2，XP的都有差异。 5.或许哪天微软推出WRK2了能得到NT 6下的情况 2013-5-10 00:02 0
egodcore 雪币： 168 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	egodcore 4 楼噢就是说我要引用某个成员变量的话要用硬编码来实现？再麻烦问下您，2楼帖子用说的，wrk中的头文件怎么引用呀，我直接引用后build出错了。是不是要用wrk下的工具编译呀谢谢您 2013-5-10 00:12 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 5 楼是的这种方法比较常用，但是得密切注意不同版本系统之间的差异，最好加上一些校验措施。 WRK是Windows Reaserch Kernel的源码啦，直接引用头文件当然步行很多地方会和WDK/DDK的头文件重复。如果您要自己用WRK写个内核例外～ 2L应该是建议参考WRK中的代码…… 2013-5-10 00:46 0
危险走红雪币： 220 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	危险走红 6 楼我要学习，来看看的 2013-5-10 00:49 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 7 楼再给出个例子，获取KPROCESS.ThreadListHead PKPROCESS PTragetProcess;//PKPROCESS 指针 ULONG KPDelta_ThreadListHead;//ThreadListHead成员的偏移 LIST_ENTRY ThreadList = *(PLIST_ENTRY)((PUCHAR)PTragetProcess + KPDelta_ThreadListHead); 注意其中指针得当心使用……最好对关键部分进行汇编代码检查，编译器经常编译出一些诡异的结果导致BSOD 2013-5-10 00:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 2 楼 wrk不是有吗，拿来直接用呗 2013-5-9 23:38 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 3 楼 1.解析微软公共调试符号服务上的.pdb，得到。 2.很多未导出的结构随Windows NT内核版本变化而变化，甚至Vista和Win7上都会有差异，想要直接使用完整的结构体比较麻烦，通常的情况下是事先记录下不同版本的系统中要使用的几个成员的偏移，然后用指针+偏移访问要用到的几个成员。 3.很多结构体未导出，但它么的指针在wdm.h之类的头文件中有定义。 4.WRK中的结构体可以作为参考，但只适用于Windows NT 5.2，XP的都有差异。 5.或许哪天微软推出WRK2了能得到NT 6下的情况 2013-5-10 00:02 0
egodcore 雪币： 168 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	egodcore 4 楼噢就是说我要引用某个成员变量的话要用硬编码来实现？再麻烦问下您，2楼帖子用说的，wrk中的头文件怎么引用呀，我直接引用后build出错了。是不是要用wrk下的工具编译呀谢谢您 2013-5-10 00:12 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 5 楼是的这种方法比较常用，但是得密切注意不同版本系统之间的差异，最好加上一些校验措施。 WRK是Windows Reaserch Kernel的源码啦，直接引用头文件当然步行很多地方会和WDK/DDK的头文件重复。如果您要自己用WRK写个内核例外～ 2L应该是建议参考WRK中的代码…… 2013-5-10 00:46 0
危险走红雪币： 220 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	危险走红 6 楼我要学习，来看看的 2013-5-10 00:49 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 7 楼再给出个例子，获取KPROCESS.ThreadListHead PKPROCESS PTragetProcess;//PKPROCESS 指针 ULONG KPDelta_ThreadListHead;//ThreadListHead成员的偏移 LIST_ENTRY ThreadList = *(PLIST_ENTRY)((PUCHAR)PTragetProcess + KPDelta_ThreadListHead); 注意其中指针得当心使用……最好对关键部分进行汇编代码检查，编译器经常编译出一些诡异的结果导致BSOD 2013-5-10 00:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复