-
-
[分享]win7 x64找SSDT
-
发表于:
2019-3-29 22:54
4879
-
原贴: https://bbs.pediy.com/thread-194447.htm
虽然本人是看雪10年老会员,但是一个新手,Java开发工程师,windows平台不是很熟。
最近在了解内核Hook技术 看了很多文章但是不清楚大佬们的 魔鬼数字都是怎么弄出来的(
//特征码 0x4c 0x8d 0x15
),
特意用windbg调试了一下 算是交代一下新手,前辈大佬们的思路。
1. bcdedit -debug on 开启内核调试
2. windbgx64 本地内核调试 详见百度其它方法
3. 首先原贴的思路是这样找KeServiceDescriptorTable的
__readmsr(0xC00000082)->KiSystemCall64->KeServiceDescriptorTable
u
KiSystemCall64 l50
l代表 反汇编行数 50行
然后截图
最终找到红色的 4c8d15 特征码
补充...
最后计算地址这个算法 依然不解 为什么会加上7 求大神仔细解答
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2019-3-29 23:17
被anfly编辑
,原因: