[求助]一个内核问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]一个内核问题

2022-12-17 01:33 8102

[求助]一个内核问题

Indexs

2022-12-17 01:33

8102

.text:00000001C01C8B13 BA 20 00 00 00                                mov     edx, 20h ; ' '  ; NumberOfBytes
.text:00000001C01C8B18 41 B8 55 63 6E 76                             mov     r8d, 766E6355h  ; Tag
.text:00000001C01C8B1E 8D 4A E1                                      lea     ecx, [rdx-1Fh]  ; PoolType
.text:00000001C01C8B21 48 FF 15 28 D0 06 00                          call    cs:__imp_ExAllocatePoolWithTag
.text:00000001C01C8B28 0F 1F 44 00 00                                nop     dword ptr [rax+rax+00h]

win32kbase 或win32kfull中这样的
call [xxxxx]

在内存中就会变成
mov r10,xxxxx
call r10

同版本的系统一个会变一个不会变
有没有大佬知道是啥东西搞的

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统内核 #驱动开发 #其他

收藏・1

点赞・0

打赏

最新回复 (3)
lononan 雪币： 9422 活跃值： (4353) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 223 粉丝 38 关注私信	lononan 2022-12-17 03:49 2 楼 0 我文化低,根本没办法理解所描述的问题
Indexs 雪币： 52 活跃值： (257) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	Indexs 2022-12-17 07:41 3 楼 0 lononan 我文化低,根本没办法理解所描述的问题[em_27] ida里面代码是这样的 call cs:__imp_ExAllocatePoolWithTag nop dword ptr [rax+rax+00h] 但是内存里面运行的是这样的 mov r10,ExAllocatePoolWithTag call r10
hzqst 雪币： 12837 活跃值： (8993) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2022-12-17 11:45 4 楼 0 retpoline 最后于 2022-12-19 15:27 被hzqst编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复