[原创]Win10 X64下SSDT表中的函数地址计算公式-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
Esemp 雪币： 793 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 2 关注私信	Esemp 2 楼正在学习中，第一次在看雪抢个沙发。 2018-12-2 10:25 1
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 3 楼 mac，小弟也暴搜kisevicetab一波，可里面的数组值很诧异 2018-12-2 18:12 0
zhatian 雪币： 6542 活跃值： (3812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 4 楼有没有研究名取索引号。？ 2018-12-4 00:18 0
airbus 雪币： 244 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 5 楼楼主脚本呢? 2018-12-5 17:14 0
wem 雪币： 516 活跃值： (3141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 239 粉丝 3 关注私信	wem 6 楼楼主，下面没有了？ 2019-6-11 19:31 0
yvqvan 雪币： 121 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 43 粉丝 1 关注私信	yvqvan 7 楼补充下对应脚本： aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; aS ufLinkE "</link></col></u>"; r $t1 = nt!KeServiceDescriptorTable; r $t2 = poi(@$t1 + 0x10); r $t1 = poi(@$t1); .printf "\n\nKeServiceDescriptorTable->KiServiceTable: %p\nKeServiceDescriptorTable->Count: %d\n", @$t1, @$t2; .printf "\nOrd Address fnAddr Symbols\n"; .printf "--------------------------------\n\n"; .for (r $t0 = 0; @$t0 != @$t2; r $t0 = @$t0 + 1) { r @$t3 = (poi(@$t1 + @$t0 * 4)) & 0x00000000`FFFFFFFF; $$.printf "2. %p\n", @$t3; .if ( @$t3 & 0x80000000 ) { r @$t3 = (@$t3 >> 4) \| 0xFFFFFFFF`F0000000; r @$t3 = 0 - @$t3; r @$t3 = @$t1 - @$t3; } .else { r @$t3 = (@$t3 >> 4); r @$t3 = (@$t1 + @$t3); } .printf /D "[%3d] ${ufLinkS}%p${ufLinkE} (%y)\n", @$t0, @$t3, @$t3, @$t3, @$t3; } .printf "\n- end -\n"; 2019-8-9 11:46 0
yvqvan 雪币： 121 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 43 粉丝 1 关注私信	yvqvan 8 楼补充下对应脚本： aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; aS ufLinkE "</link></col></u>"; r $t1 = nt!KeServiceDescriptorTable; r $t2 = poi(@$t1 + 0x10); r $t1 = poi(@$t1); .printf "\n\nKeServiceDescriptorTable->KiServiceTable: %p\nKeServiceDescriptorTable->Count: %d\n", @$t1, @$t2; .printf "\nOrd Address fnAddr Symbols\n"; .printf "--------------------------------\n\n"; .for (r $t0 = 0; @$t0 != @$t2; r $t0 = @$t0 + 1) { r @$t3 = (poi(@$t1 + @$t0 * 4)) & 0x00000000`FFFFFFFF; $$.printf "2. %p\n", @$t3; .if ( @$t3 & 0x80000000 ) { r @$t3 = (@$t3 >> 4) \| 0xFFFFFFFF`F0000000; r @$t3 = 0 - @$t3; r @$t3 = @$t1 - @$t3; } .else { r @$t3 = (@$t3 >> 4); r @$t3 = (@$t1 + @$t3); } .printf /D "[%3d] ${ufLinkS}%p${ufLinkE} (%y)\n", @$t0, @$t3, @$t3, @$t3, @$t3; } .printf "\n- end -\n"; 2019-8-9 11:46 0
wfmdyh 雪币： 184 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	wfmdyh 9 楼谢谢分享，刚刚试验了下可以成功查看 2020-9-13 00:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
Esemp 雪币： 793 活跃值： (75) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 2 关注私信	Esemp 2 楼正在学习中，第一次在看雪抢个沙发。 2018-12-2 10:25 1
杨开银雪币： 9 活跃值： (319) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 166 粉丝 0 关注私信	杨开银 3 楼 mac，小弟也暴搜kisevicetab一波，可里面的数组值很诧异 2018-12-2 18:12 0
zhatian 雪币： 6542 活跃值： (3812) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 242 粉丝 14 关注私信	zhatian 4 楼有没有研究名取索引号。？ 2018-12-4 00:18 0
airbus 雪币： 244 活跃值： (169) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 224 粉丝 2 关注私信	airbus 5 楼楼主脚本呢? 2018-12-5 17:14 0
wem 雪币： 516 活跃值： (3141) 能力值： ( LV2，RANK：10 ) 在线值：发帖 86 回帖 239 粉丝 3 关注私信	wem 6 楼楼主，下面没有了？ 2019-6-11 19:31 0
yvqvan 雪币： 121 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 43 粉丝 1 关注私信	yvqvan 7 楼补充下对应脚本： aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; aS ufLinkE "</link></col></u>"; r $t1 = nt!KeServiceDescriptorTable; r $t2 = poi(@$t1 + 0x10); r $t1 = poi(@$t1); .printf "\n\nKeServiceDescriptorTable->KiServiceTable: %p\nKeServiceDescriptorTable->Count: %d\n", @$t1, @$t2; .printf "\nOrd Address fnAddr Symbols\n"; .printf "--------------------------------\n\n"; .for (r $t0 = 0; @$t0 != @$t2; r $t0 = @$t0 + 1) { r @$t3 = (poi(@$t1 + @$t0 * 4)) & 0x00000000`FFFFFFFF; $$.printf "2. %p\n", @$t3; .if ( @$t3 & 0x80000000 ) { r @$t3 = (@$t3 >> 4) \| 0xFFFFFFFF`F0000000; r @$t3 = 0 - @$t3; r @$t3 = @$t1 - @$t3; } .else { r @$t3 = (@$t3 >> 4); r @$t3 = (@$t1 + @$t3); } .printf /D "[%3d] ${ufLinkS}%p${ufLinkE} (%y)\n", @$t0, @$t3, @$t3, @$t3, @$t3; } .printf "\n- end -\n"; 2019-8-9 11:46 0
yvqvan 雪币： 121 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 43 粉丝 1 关注私信	yvqvan 8 楼补充下对应脚本： aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; aS ufLinkE "</link></col></u>"; r $t1 = nt!KeServiceDescriptorTable; r $t2 = poi(@$t1 + 0x10); r $t1 = poi(@$t1); .printf "\n\nKeServiceDescriptorTable->KiServiceTable: %p\nKeServiceDescriptorTable->Count: %d\n", @$t1, @$t2; .printf "\nOrd Address fnAddr Symbols\n"; .printf "--------------------------------\n\n"; .for (r $t0 = 0; @$t0 != @$t2; r $t0 = @$t0 + 1) { r @$t3 = (poi(@$t1 + @$t0 * 4)) & 0x00000000`FFFFFFFF; $$.printf "2. %p\n", @$t3; .if ( @$t3 & 0x80000000 ) { r @$t3 = (@$t3 >> 4) \| 0xFFFFFFFF`F0000000; r @$t3 = 0 - @$t3; r @$t3 = @$t1 - @$t3; } .else { r @$t3 = (@$t3 >> 4); r @$t3 = (@$t1 + @$t3); } .printf /D "[%3d] ${ufLinkS}%p${ufLinkE} (%y)\n", @$t0, @$t3, @$t3, @$t3, @$t3; } .printf "\n- end -\n"; 2019-8-9 11:46 0
wfmdyh 雪币： 184 活跃值： (34) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	wfmdyh 9 楼谢谢分享，刚刚试验了下可以成功查看 2020-9-13 00:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复