首页
社区
课程
招聘
[求助]x64内核全局变量重定位
发表于: 2020-3-16 01:04 5653

[求助]x64内核全局变量重定位

2020-3-16 01:04
5653
     之前在win32可以随便通过重定位表来定位内核引用全局变量的地址,这样就减少了很多硬编码,并且能全部定位到在也不用手动IDA搜索特征码,按照相同思路转到x64来,首先x64重定位表的某个标志跟win32有点区别,并且全局变量的引用转为了相对偏移,手动算了下公式是这样:全局变量地址-引用地址-4就是实际引用全局变量地址处的值,然后就是遍历。。
   问题如下: 函数引用类型的可以通过重定位表定位到地址,定位全局变量的时候出错,转换为相对偏移,甚至使用硬编码都无法断下来,各位帮看看什么原因?
比如我想通过重定位表定位x64内核所有引用KdDebuggerEnabled的地方该如何实现?

结贴,已解决。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-3-16 14:42 被tmflxw编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
x64重载全局变量不行的
2020-3-16 05:28
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
x64重定位表 貌似不包含你说的那个 你需要换思路
2020-3-16 07:48
0
雪    币: 1489
活跃值: (3392)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不是内核重载,我是想通过重定位获取全局变量的引用地址。
2020-3-16 13:21
0
雪    币: 1489
活跃值: (3392)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
killpy x64重定位表 貌似不包含你说的那个 你需要换思路
如果x64不能通过重定位表获取全局变量的地址的话,那么x64是如何修正全局变量的呢?
2020-3-16 13:22
0
雪    币: 1489
活跃值: (3392)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
结贴,已解决,是因为x64的全局变量不在重定位表里
2020-3-16 14:41
0
雪    币: 5268
活跃值: (4748)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
tmflxw 结贴,已解决,是因为x64的全局变量不在重定位表里
那x64全局变量存在哪里呢?
2021-9-7 20:53
0
游客
登录 | 注册 方可回帖
返回
//