首页
社区
课程
招聘
[求助]用MmGetSystemRoutineAddress获取ntloaddriver的地址为0,各位有什么办法??
发表于: 2014-8-13 20:45 4523

[求助]用MmGetSystemRoutineAddress获取ntloaddriver的地址为0,各位有什么办法??

2014-8-13 20:45
4523
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 7
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
因为内核没导出这玩意。。所以不能直接Get。
可以从别的地方间接获取。
例如
从SSDT表里根据ZwLoadDriver的Index直接获取。
从内核ntoskr*.exe文件的原始KiServiceTable中得到一个原始的值,根据当前基址重定位下。
还可以暴力搜索内存
或者使用用微软符号表。

又想了一下或许可以。Hook NtLoadDriver路径中调用的一些函数,然后构造一个虚假调用。。在Hook函数中通过堆栈回溯到NtLoadDriver的地址。。未亲身测试。
2014-8-13 21:13
0
雪    币: 293
活跃值: (287)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
换用 ZwLoadDriver 函数不行?
2014-8-14 00:06
0
雪    币: 96
活跃值: (64)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
直接用ssdt了。。
2014-8-14 17:27
0
游客
登录 | 注册 方可回帖
返回
//