[求助]一个内核问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]一个内核问题

发表于: 2022-12-17 01:33 8890

[求助]一个内核问题

Indexs

2022-12-17 01:33

8890

.text:00000001C01C8B13 BA 20 00 00 00                                mov     edx, 20h ; ' '  ; NumberOfBytes
.text:00000001C01C8B18 41 B8 55 63 6E 76                             mov     r8d, 766E6355h  ; Tag
.text:00000001C01C8B1E 8D 4A E1                                      lea     ecx, [rdx-1Fh]  ; PoolType
.text:00000001C01C8B21 48 FF 15 28 D0 06 00                          call    cs:__imp_ExAllocatePoolWithTag
.text:00000001C01C8B28 0F 1F 44 00 00                                nop     dword ptr [rax+rax+00h]

win32kbase 或win32kfull中这样的
call [xxxxx]

在内存中就会变成
mov r10,xxxxx
call r10

同版本的系统一个会变一个不会变
有没有大佬知道是啥东西搞的

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统内核 #驱动开发 #其他

收藏・1

免费・0

支持

最新回复 (3)
游乐娃子雪币： 7527 活跃值： (5362) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 2 楼我文化低,根本没办法理解所描述的问题 2022-12-17 03:49 0
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 1 关注私信	Indexs 3 楼 lononan 我文化低,根本没办法理解所描述的问题[em_27] ida里面代码是这样的 call cs:__imp_ExAllocatePoolWithTag nop dword ptr [rax+rax+00h] 但是内存里面运行的是这样的 mov r10,ExAllocatePoolWithTag call r10 2022-12-17 07:41 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 4 楼 retpoline 最后于 2022-12-19 15:27 被hzqst编辑，原因： 2022-12-17 11:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Indexs

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (3)
游乐娃子雪币： 7527 活跃值： (5362) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 2 楼我文化低,根本没办法理解所描述的问题 2022-12-17 03:49 0
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 24 粉丝 1 关注私信	Indexs 3 楼 lononan 我文化低,根本没办法理解所描述的问题[em_27] ida里面代码是这样的 call cs:__imp_ExAllocatePoolWithTag nop dword ptr [rax+rax+00h] 但是内存里面运行的是这样的 mov r10,ExAllocatePoolWithTag call r10 2022-12-17 07:41 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 4 楼 retpoline 最后于 2022-12-19 15:27 被hzqst编辑，原因： 2022-12-17 11:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复