[求助]获取SSDT失败-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 2 楼大哥，取值啊*((PULONG)KeServiceDescriptorTable->pServiceTable+0x7A) 2013-7-3 14:25 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 3 楼首先需要取值* 然后应该是0x7A * 4 2013-7-3 14:46 0
Sirna 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	Sirna 4 楼取出来的值和XT看到的值不一样,这是为什么? 2013-7-3 15:04 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 5 楼 404，你小子牛逼啊，啥时候请我吃鸡蛋灌饼啊 2013-7-3 15:04 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 6 楼那就得看 KeServiceDescriptorTable你是定义成什么结构了 2013-7-3 15:06 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 7 楼最简单的办法是 PULONG SSDT = (PULONG)KeServiceDescriptorTable->pServiceTable; DbgPrint("NtOpenProcess地址是:%x",SSDT[0x7a]); 2013-7-3 15:07 0
Sirna 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	Sirna 8 楼 [QUOTE=遗失灵魂;1194775]最简单的办法是 PULONG SSDT = (PULONG)KeServiceDescriptorTable->pServiceTable; DbgPrint("NtOpenProcess地址是:%x",SSDT[0x7a]);[/QUOTE] 这种方式好,受教了 2013-7-3 17:32 0
Sirna 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	Sirna 9 楼 //KeServiceDescriptorTable(由ntoskrnl.exe导出) typedef struct _KE_SERVICE_DESCRIPTOR_TABLE{ PVOID pServiceTable; //服务表 PULONG pServiceCounterTable; //服务表的函数计数表 ULONG NumberOfService; //服务函数的个数 ULONG ParamTableBase; } KE_SERVICE_DESCRIPTOR_TABLE,*PKE_SERVICE_DESCRIPTOR_TABLE; //手动添加到导入表： __declspec(dllimport) PKE_SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable; 2013-7-3 17:33 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 10 楼求设置为最佳回答~ 2013-7-3 19:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 2 楼大哥，取值啊*((PULONG)KeServiceDescriptorTable->pServiceTable+0x7A) 2013-7-3 14:25 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 3 楼首先需要取值* 然后应该是0x7A * 4 2013-7-3 14:46 0
Sirna 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	Sirna 4 楼取出来的值和XT看到的值不一样,这是为什么? 2013-7-3 15:04 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 5 楼 404，你小子牛逼啊，啥时候请我吃鸡蛋灌饼啊 2013-7-3 15:04 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 6 楼那就得看 KeServiceDescriptorTable你是定义成什么结构了 2013-7-3 15:06 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 7 楼最简单的办法是 PULONG SSDT = (PULONG)KeServiceDescriptorTable->pServiceTable; DbgPrint("NtOpenProcess地址是:%x",SSDT[0x7a]); 2013-7-3 15:07 0
Sirna 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	Sirna 8 楼 [QUOTE=遗失灵魂;1194775]最简单的办法是 PULONG SSDT = (PULONG)KeServiceDescriptorTable->pServiceTable; DbgPrint("NtOpenProcess地址是:%x",SSDT[0x7a]);[/QUOTE] 这种方式好,受教了 2013-7-3 17:32 0
Sirna 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 26 粉丝 0 关注私信	Sirna 9 楼 //KeServiceDescriptorTable(由ntoskrnl.exe导出) typedef struct _KE_SERVICE_DESCRIPTOR_TABLE{ PVOID pServiceTable; //服务表 PULONG pServiceCounterTable; //服务表的函数计数表 ULONG NumberOfService; //服务函数的个数 ULONG ParamTableBase; } KE_SERVICE_DESCRIPTOR_TABLE,*PKE_SERVICE_DESCRIPTOR_TABLE; //手动添加到导入表： __declspec(dllimport) PKE_SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable; 2013-7-3 17:33 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 10 楼求设置为最佳回答~ 2013-7-3 19:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复