本贴为记录贴,主要记录逆向大厂商业化软件中使用的微软未公开的函数。当然如果网络上能够查询到资料的未公开函数,不在本帖记录范围中。
函数说明: 获取KiProcessorBlock,KiProcessorBlock网上很多资料就不展开说了。汇编
fffff805`
6e92fb10
8bc1
mov eax,ecx
6e92fb12
488d0d67524200
lea rcx,[nt!KiProcessorBlock (fffff805`
6ed54d80
)]
6e92fb19
488b04c1
mov rax,qword ptr [rcx
+
rax
*
8
]
6e92fb1d
c3 ret
wrk源码
PKPRCB
KeQueryPrcbAddress (
__in ULONG Number
)
{
ASSERT(Number <
=
(ULONG)KeNumberProcessors);
return
KiProcessorBlock[Number];
}
缓慢更新中
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
