[求助]用MmGetSystemRoutineAddress获取ntloaddriver的地址为0，各位有什么办法？？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
奓奓雪币： 7 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	奓奓 2 楼因为内核没导出这玩意。。所以不能直接Get。可以从别的地方间接获取。例如从SSDT表里根据ZwLoadDriver的Index直接获取。从内核ntoskr*.exe文件的原始KiServiceTable中得到一个原始的值，根据当前基址重定位下。还可以暴力搜索内存或者使用用微软符号表。又想了一下或许可以。Hook NtLoadDriver路径中调用的一些函数，然后构造一个虚假调用。。在Hook函数中通过堆栈回溯到NtLoadDriver的地址。。未亲身测试。 2014-8-13 21:13 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 3 楼换用 ZwLoadDriver 函数不行？ 2014-8-14 00:06 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 4 楼直接用ssdt了。。 2014-8-14 17:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
奓奓雪币： 7 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 44 粉丝 0 关注私信	奓奓 2 楼因为内核没导出这玩意。。所以不能直接Get。可以从别的地方间接获取。例如从SSDT表里根据ZwLoadDriver的Index直接获取。从内核ntoskr*.exe文件的原始KiServiceTable中得到一个原始的值，根据当前基址重定位下。还可以暴力搜索内存或者使用用微软符号表。又想了一下或许可以。Hook NtLoadDriver路径中调用的一些函数，然后构造一个虚假调用。。在Hook函数中通过堆栈回溯到NtLoadDriver的地址。。未亲身测试。 2014-8-13 21:13 0
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 3 楼换用 ZwLoadDriver 函数不行？ 2014-8-14 00:06 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 4 楼直接用ssdt了。。 2014-8-14 17:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复