首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求肋]Win7如何获得驱动文件加载的映像基址 0.00雪花
发表于: 2014-4-14 03:17 4418

[旧帖] [求肋]Win7如何获得驱动文件加载的映像基址 0.00雪花

轻灵秋水 活跃值
2014-4-14 03:17
4418
像此图所示的软件 获取得入口地址 映像基址 是什么样得到的呢 求大神解惑

http://bbs.pediy.com/attachment.php?attachmentid=88453&stc=1&d=1397416627

[课程]Android-CTF解题方法汇总!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
lovelyday
雪    币: 31
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
ZwQuerySystemInformation 查询内核模块信息
2014-4-14 09:03
0
KantSFun
雪    币: 9
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
ZwQuerySystemInformation
2014-4-23 11:01
0
yxhbboy
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
给你个函数吧:
ULONG xhGetLoadedFileBaseAddr(VOID)
{
        ULONG kerBaseAddr;
        KAFFINITY affinity;
        //多核时,使当前线程运行在第一个处理器上
        affinity = KeSetSystemAffinityThreadEx(1);
       
        //通过KPCR获取内核基地址
        _asm
        {
                push eax
                mov eax,fs:[0x34]   
                and eax,0x18      
                mov eax,[eax]      
                mov eax,[eax]      
                mov        eax,[eax+0x18]  
                mov kerBaseAddr,eax
                pop eax
        }
        //回复之前的CPU状态
        KeRevertToUserAffinityThreadEx(affinity);
        return kerBaseAddr;
}

获取内核基地址有4种方法:
1,通过DRIVER_OBJECT
2,通过ZwQuerySystemInformation
3,通过KPCR
4,这个暂时不能告诉你!自己能想到,那可以干些别人不能干的事。
2014-4-23 11:44
0
kxltsuper
雪    币: 5
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
驱动对象中的DriverStart函数不就是吗?
2014-4-28 10:46
0
第十四维
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
ZwQuerySystemInformation
2014-4-30 23:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//