首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] 内核下如何查开端口的相应代码? 0.00雪花
发表于: 2013-6-13 13:33 3678

[旧帖] 内核下如何查开端口的相应代码? 0.00雪花

HelloCrack 活跃值
2013-6-13 13:33
3678
r3下的程序开端口可以通过socket的相应api来下断点,查看相应的开端口的模块代码。
在r0下的端口是通过什么内核api打开的呢?如何才能找到开端口的模块相应代码呢?
如netbios所开端口139,445等端口都是system进程所打开,如何确定?
用进程管理器列出的堆栈
//tcp445
ntkrnlpa.exe!IoBuildPartialMdl+0xed
ntkrnlpa.exe!NtMakePermanentObject+0x11b2
ntkrnlpa.exe!ObOpenObjectByName+0xea
ntkrnlpa.exe!IoCreateDevice+0x745
ntkrnlpa.exe!IoCreateFile+0x8e
ntkrnlpa.exe!NtCreateFile+0x30
ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb74
ntkrnlpa.exe!ZwCreateFile+0x11
netbt.sys!NbtCreateAddressObjects+0x13e
netbt.sys!NbtCreateSmbDevice+0xc8
netbt.sys!DriverEntry+0x215
ntkrnlpa.exe!NtWriteFile+0x449f
ntkrnlpa.exe!IoReportHalResourceUsage+0x172c

//tcp139
ntkrnlpa.exe!IoBuildPartialMdl+0xed
360netmon.sys+0x14e4
ntkrnlpa.exe!IoBuildPartialMdl+0xed
HookTdi.sys+0x2e2a
HookTdi.sys+0x2f21
HookTdi.sys+0x191c
ntkrnlpa.exe!NtMakePermanentObject+0x11b2
ntkrnlpa.exe!ObOpenObjectByName+0xea
ntkrnlpa.exe!IoCreateDevice+0x745
ntkrnlpa.exe!IoCreateFile+0x8e
ntkrnlpa.exe!NtCreateFile+0x30
Hookport.sys+0x1ba8
ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb74

//udp137
ntkrnlpa.exe!IoBuildPartialMdl+0xed
360netmon.sys+0x14e4
ntkrnlpa.exe!IoBuildPartialMdl+0xed
HookTdi.sys+0x2e2a
HookTdi.sys+0x2f21
HookTdi.sys+0x191c
ntkrnlpa.exe!NtMakePermanentObject+0x11b2
ntkrnlpa.exe!ObOpenObjectByName+0xea
ntkrnlpa.exe!IoCreateDevice+0x745
ntkrnlpa.exe!IoCreateFile+0x8e
ntkrnlpa.exe!NtCreateFile+0x30
Hookport.sys+0x1ba8
ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb74

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (1)
exediy
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
2
看错了.请查看Reactos代码.十分详尽,虽然跟MS的有点出入 不过也差不多了
2013-6-13 13:42
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//