[求助]新内核汇编求助-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]新内核汇编求助

发表于: 2013-9-3 23:13 4352

[求助]新内核汇编求助

兔兔

活跃值

2013-9-3 23:13

4352

call ntoskrnl.ObOpenObjectByPointer等于CALL 8057CCC0

那么请问下call PsGetCurrentProcessId 等于CALL ？？？？？？

求地址

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费

支持

分享

最新回复 (6)
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 2 楼 lz该看看PE基础了。。。内核函数的地址不是完全固定的这种导出的函数可以直接取得,extern HANDLE PsGetCurrentProcessId(void);一下，然后通过函数指针获得…… 没导出的得硬编码搜索或者利用调试符号文件去查 2013-9-3 23:37 0
兔兔雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 64 粉丝 0 关注私信	兔兔 3 楼首先感谢您的回复但其实我是用KD，实验了很多次才得出的这个结论呢。。。。。CALL的地址确实没变过 2013-9-4 00:19 0
誓言剑雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 249 粉丝 0 关注私信	誓言剑 4 楼我家的开关在左手墙上,我试验了很多次都是这样但是这不代表你家的开关也在左手墙上啊 2013-9-4 07:23 0
MarvelStu 雪币： 19 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	MarvelStu 5 楼你可以关机重启一下！没有释放的东西，不重新映射怎么可能会改变！ 2013-9-4 09:21 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 6 楼在同一机器同一系统上内核加载的地址是基本是固定的，但是在不同的系统上（甚至系统版本相同）都可能不同。出了系统版本外是否启用PAE、是否是多处理器系统、是否启用高级电源管理等都会影响。 2013-9-4 11:10 0
兔兔雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 64 粉丝 0 关注私信	兔兔 7 楼其实可以取特征码在TP启动前自动搜索地址。其实问这个问题是因为小弟实在是没心情去学C++，易语言驱动写法就可以绕过去了 2013-9-4 23:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

兔兔

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区