我现在通过ETW的“Nt Kernel Logger”,获取了程序调用的system call的入口地址。通过windbg内核调试,可以通过地址得到system call name(比如 NtCreateFile)。
请问,这一步骤能否通过C/C++代码自动实现?
或者有没有大佬可以帮忙解释一下,System call 是在ntkrnlmp.exe 和 win32k.sys里面的,
如果获取到了这两个文件的开始地址,通过计算系统调用入口地址的偏移量是不是也可以知道是在调用哪个函数?
第一次发帖,谢谢~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
