[求助]win10 x64如何获取KeUpdateSystemTime函数地址-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
万剑归宗雪币： 914 活跃值： (2168) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2019-3-25 10:10 2 楼 0 说不定不叫这个函数了
固件安全雪币： 10704 活跃值： (762) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	固件安全 2019-3-25 11:52 3 楼 0 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctionAddress(L"KeQueryPerformanceCounter"); PUCHAR pfnKeUpdateSystemTime = (PUCHAR)GetNtosFunctionAddress(L"KeUpdateSystemTime"); if(pfnKeQueryPerformanceCounter && MmIsAddressValid(pfnKeQueryPerformanceCounter)) { #ifdef AMD64 if(pfnKeQueryPerformanceCounter==0xFF && (pfnKeQueryPerformanceCounter+1)==0x25) { return TRUE; } #else if(pfnKeQueryPerformanceCounter==0xE9) { return TRUE; } #endif } if(pfnKeUpdateSystemTime && MmIsAddressValid(pfnKeUpdateSystemTime)) { #ifdef AMD64 if(pfnKeUpdateSystemTime==0xFF && (pfnKeUpdateSystemTime+1)==0x25) { return TRUE; } #else if(pfnKeUpdateSystemTime==0xE9) { return TRUE; } #endif } return FALSE; }
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-25 12:32 4 楼 0 我看了下win10x64没有这个导出函数
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 41 粉丝 0 关注私信	qvbgod 2019-3-25 15:55 5 楼 0 万剑归宗说不定不叫这个函数了[em_21] 可能是不叫这个函数了
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 41 粉丝 0 关注私信	qvbgod 2019-3-25 15:56 6 楼 0 固件安全 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctio ... GetNtosFunctionAddress函数里面也是调用的MmGetSystemRoutineAddress 在win10 x64环境下还是NULL，win7 x64环境下是有效的
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 41 粉丝 0 关注私信	qvbgod 2019-3-25 15:56 7 楼 0 crackJ 我看了下win10x64没有这个导出函数可能换了个名字
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (6)
万剑归宗雪币： 914 活跃值： (2168) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2019-3-25 10:10 2 楼 0 说不定不叫这个函数了
固件安全雪币： 10704 活跃值： (762) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	固件安全 2019-3-25 11:52 3 楼 0 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctionAddress(L"KeQueryPerformanceCounter"); PUCHAR pfnKeUpdateSystemTime = (PUCHAR)GetNtosFunctionAddress(L"KeUpdateSystemTime"); if(pfnKeQueryPerformanceCounter && MmIsAddressValid(pfnKeQueryPerformanceCounter)) { #ifdef AMD64 if(pfnKeQueryPerformanceCounter==0xFF && (pfnKeQueryPerformanceCounter+1)==0x25) { return TRUE; } #else if(pfnKeQueryPerformanceCounter==0xE9) { return TRUE; } #endif } if(pfnKeUpdateSystemTime && MmIsAddressValid(pfnKeUpdateSystemTime)) { #ifdef AMD64 if(pfnKeUpdateSystemTime==0xFF && (pfnKeUpdateSystemTime+1)==0x25) { return TRUE; } #else if(pfnKeUpdateSystemTime==0xE9) { return TRUE; } #endif } return FALSE; }
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-25 12:32 4 楼 0 我看了下win10x64没有这个导出函数
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 41 粉丝 0 关注私信	qvbgod 2019-3-25 15:55 5 楼 0 万剑归宗说不定不叫这个函数了[em_21] 可能是不叫这个函数了
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 41 粉丝 0 关注私信	qvbgod 2019-3-25 15:56 6 楼 0 固件安全 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctio ... GetNtosFunctionAddress函数里面也是调用的MmGetSystemRoutineAddress 在win10 x64环境下还是NULL，win7 x64环境下是有效的
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 41 粉丝 0 关注私信	qvbgod 2019-3-25 15:56 7 楼 0 crackJ 我看了下win10x64没有这个导出函数可能换了个名字
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复