[求助]哪位大佬知道获取zw开头函数地址方法啊？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
大大qaz 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	大大qaz 2 楼下个MSDN，查找Zw会有很多函数。地址的话，看在哪个DLL里面，然后用DLL表基址就知道，他地址的范围了。 2017-8-9 07:40 0
脚印雪币： 216 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 0 关注私信	脚印 3 楼大大qaz 下个MSDN，查找Zw会有很多函数。地址的话，看在哪个DLL里面，然后用DLL表基址就知道，他地址的范围了。能详细说一下吗？是ntdll.dll中的 2017-8-9 08:04 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 4 楼 GetProcAddress 2017-8-9 08:21 0
脚印雪币： 216 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 0 关注私信	脚印 5 楼 rrrfff GetProcAddress 内核层的额~！ 2017-8-9 08:56 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 6 楼脚印内核层的额~！ LdrGetProcedureAddress 2017-8-9 09:13 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼脚印内核层的额~！符号符号符号重要的事说三遍 2017-8-9 11:19 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 8 楼 // --------- NTDLL.DLL --------------- HMODULE g_hmodNtdll = GetModuleHandleW(L"ntdll.dll"); DELAY_LOAD(g_hmodNtdll, NTDLL.DLL, ULONG, RtlNtStatusToDosError, (NTSTATUS Status), (Status)) DELAY_LOAD(g_hmodNtdll, NTDLL.DLL, VOID, RtlInitUnicodeString, (PUNICODE_STRING DestinationString, PCWSTR SourceString), (DestinationString, SourceString)) DELAY_LOAD_NTSTATUS(g_hmodNtdll, NTDLL.DLL, NtClose, (HANDLE Handle), (Handle)) win2k找下这个宏 2017-8-9 22:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
大大qaz 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	大大qaz 2 楼下个MSDN，查找Zw会有很多函数。地址的话，看在哪个DLL里面，然后用DLL表基址就知道，他地址的范围了。 2017-8-9 07:40 0
脚印雪币： 216 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 0 关注私信	脚印 3 楼大大qaz 下个MSDN，查找Zw会有很多函数。地址的话，看在哪个DLL里面，然后用DLL表基址就知道，他地址的范围了。能详细说一下吗？是ntdll.dll中的 2017-8-9 08:04 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 4 楼 GetProcAddress 2017-8-9 08:21 0
脚印雪币： 216 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 27 粉丝 0 关注私信	脚印 5 楼 rrrfff GetProcAddress 内核层的额~！ 2017-8-9 08:56 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 6 楼脚印内核层的额~！ LdrGetProcedureAddress 2017-8-9 09:13 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼脚印内核层的额~！符号符号符号重要的事说三遍 2017-8-9 11:19 0
叁毛雪币： 7 活跃值： (333) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 213 粉丝 2 关注私信	叁毛 1 8 楼 // --------- NTDLL.DLL --------------- HMODULE g_hmodNtdll = GetModuleHandleW(L"ntdll.dll"); DELAY_LOAD(g_hmodNtdll, NTDLL.DLL, ULONG, RtlNtStatusToDosError, (NTSTATUS Status), (Status)) DELAY_LOAD(g_hmodNtdll, NTDLL.DLL, VOID, RtlInitUnicodeString, (PUNICODE_STRING DestinationString, PCWSTR SourceString), (DestinationString, SourceString)) DELAY_LOAD_NTSTATUS(g_hmodNtdll, NTDLL.DLL, NtClose, (HANDLE Handle), (Handle)) win2k找下这个宏 2017-8-9 22:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复