[求助]win10 x64如何获取KeUpdateSystemTime函数地址-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
万剑归宗雪币： 914 活跃值： (2468) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼说不定不叫这个函数了 2019-3-25 10:10 0
固件安全雪币： 10704 活跃值： (809) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	固件安全 3 楼 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctionAddress(L"KeQueryPerformanceCounter"); PUCHAR pfnKeUpdateSystemTime = (PUCHAR)GetNtosFunctionAddress(L"KeUpdateSystemTime"); if(pfnKeQueryPerformanceCounter && MmIsAddressValid(pfnKeQueryPerformanceCounter)) { #ifdef AMD64 if(pfnKeQueryPerformanceCounter==0xFF && (pfnKeQueryPerformanceCounter+1)==0x25) { return TRUE; } #else if(pfnKeQueryPerformanceCounter==0xE9) { return TRUE; } #endif } if(pfnKeUpdateSystemTime && MmIsAddressValid(pfnKeUpdateSystemTime)) { #ifdef AMD64 if(pfnKeUpdateSystemTime==0xFF && (pfnKeUpdateSystemTime+1)==0x25) { return TRUE; } #else if(pfnKeUpdateSystemTime==0xE9) { return TRUE; } #endif } return FALSE; } 2019-3-25 11:52 0
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 108 粉丝 0 关注私信	crackJ 1 4 楼我看了下win10x64没有这个导出函数 2019-3-25 12:32 0
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	qvbgod 5 楼万剑归宗说不定不叫这个函数了[em_21] 可能是不叫这个函数了 2019-3-25 15:55 0
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	qvbgod 6 楼固件安全 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctio ... GetNtosFunctionAddress函数里面也是调用的MmGetSystemRoutineAddress 在win10 x64环境下还是NULL，win7 x64环境下是有效的 2019-3-25 15:56 0
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	qvbgod 7 楼 crackJ 我看了下win10x64没有这个导出函数可能换了个名字 2019-3-25 15:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
万剑归宗雪币： 914 活跃值： (2468) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼说不定不叫这个函数了 2019-3-25 10:10 0
固件安全雪币： 10704 活跃值： (809) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	固件安全 3 楼 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctionAddress(L"KeQueryPerformanceCounter"); PUCHAR pfnKeUpdateSystemTime = (PUCHAR)GetNtosFunctionAddress(L"KeUpdateSystemTime"); if(pfnKeQueryPerformanceCounter && MmIsAddressValid(pfnKeQueryPerformanceCounter)) { #ifdef AMD64 if(pfnKeQueryPerformanceCounter==0xFF && (pfnKeQueryPerformanceCounter+1)==0x25) { return TRUE; } #else if(pfnKeQueryPerformanceCounter==0xE9) { return TRUE; } #endif } if(pfnKeUpdateSystemTime && MmIsAddressValid(pfnKeUpdateSystemTime)) { #ifdef AMD64 if(pfnKeUpdateSystemTime==0xFF && (pfnKeUpdateSystemTime+1)==0x25) { return TRUE; } #else if(pfnKeUpdateSystemTime==0xE9) { return TRUE; } #endif } return FALSE; } 2019-3-25 11:52 0
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 108 粉丝 0 关注私信	crackJ 1 4 楼我看了下win10x64没有这个导出函数 2019-3-25 12:32 0
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	qvbgod 5 楼万剑归宗说不定不叫这个函数了[em_21] 可能是不叫这个函数了 2019-3-25 15:55 0
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	qvbgod 6 楼固件安全 BOOLEAN IsTimeFunctionHooked() { PUCHAR pfnKeQueryPerformanceCounter = (PUCHAR)GetNtosFunctio ... GetNtosFunctionAddress函数里面也是调用的MmGetSystemRoutineAddress 在win10 x64环境下还是NULL，win7 x64环境下是有效的 2019-3-25 15:56 0
qvbgod 雪币： 190 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	qvbgod 7 楼 crackJ 我看了下win10x64没有这个导出函数可能换了个名字 2019-3-25 15:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [求助]win10 x64如何获取KeUpdateSystemTime函数地址