-
-
[求助]ring3下LoadLibrary 模块(ntkrnlpa_t.dll系统模块改名了)之后为什么没有重定向里面的变量
-
发表于:
2014-3-21 21:15
4030
-
[求助]ring3下LoadLibrary 模块(ntkrnlpa_t.dll系统模块改名了)之后为什么没有重定向里面的变量
ring3下LoadLibrary 模块(ntkrnlpa_t.dll系统模块改名了)之后为什么没有重定向里面的变量?
LoadLibrary(ntkrnlpa_t.dll系统模块改名了)之后,基地址是0x630000,在其RAV 0x1194,也就是RV 0x00631194的地方应该有个重定向的变量,
用od查看是
0x00631194 08224900 dd 00492208
0x00631198 . 15224900 dd 00492215
RAW是0x794
用 UE查看文件是
在文件偏移00000794h: 08 22 49 00 15 22 49 00
也就是这个时候内存中的值和文件中的值是一样的,都是 0x00492208
根本就没进行重定向,我用windbg产看内核中的这个值为
lkd> dd 0x804d8000+1194
804d9194 8056a208 8056a215 ffffffff 8056a422
0x804d8000是 ntkrnlpa.dll 在内核中加载的基地址
8056a208-00492208=804d8000-00400000
这说明内核中,这个全局变量进行了正确的重定向
但是为什么我在ring3下LoadLibrary 这个模块怎么就没有重定向呢,这个变量一点变化没有,请大侠接下疑惑,我是什么没有注意到,谢谢
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课