首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]读取SSDT里面XX函数的索引号 0.00雪花
发表于: 2014-1-28 21:39 1463

[旧帖] [求助]读取SSDT里面XX函数的索引号 0.00雪花

无名侠 活跃值
12
2014-1-28 21:39
1463
今天在调试程序的时候发现winXp的NtOpenProcess函数的索引和Win7的不一样,所以导致在xp不蓝屏,这个索引号怎么取呢?
  在网上找了大半天,基本都是取Zw函数开头,有一个Mov eax,7a,但是Zw函数开头的地址怎么取?ZwOpenProcess

[课程]Android-CTF解题方法汇总!

收藏
免费 0
支持
分享
最新回复 (2)
无名侠
雪    币: 6890
活跃值: (8944)
能力值: ( LV17,RANK:797 )
在线值:
发帖
回帖
粉丝
私信
2
好了我自己解决了:
_asm //获取NtOpenProcess函数索引号
        {
                push eax
                push ebx
                mov ebx,SSDT_Zw_OpenProcess
                mov eax,[ebx+1]
                mov index,eax
                pop ebx
                pop eax
        }
        index*=0x4;
        DbgPrint("Index:%X",index);
2014-1-29 11:38
0
lovelyday
雪    币: 31
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
最好的办法是加载ntdll来读,所有SSDT函数的索引都能在里面找到
2014-1-29 13:25
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//