[求助]r3下有办法知道ntoskrnl所在物理地址范围么-编程技术-看雪-安全社区|安全招聘|kanxue.com

万剑归宗

雪币： 914

活跃值： (2678)

能力值：

( LV5，RANK：68 )

在线值：

发帖

6

回帖

519

粉丝

36

关注

私信

万剑归宗 1: 2 楼

你说的东西，也许火哥知道

2023-5-15 09:30

0

mb_foyotena

雪币： 477

活跃值： (1412)

能力值：

( LV2，RANK：10 )

在线值：

发帖

8

回帖

304

粉丝

14

关注

私信

mb_foyotena: 3 楼

大黄狗知道

2023-5-15 09:48

0

suuuuu

雪币： 864

活跃值： (5144)

能力值：

( LV2，RANK：10 )

在线值：

发帖

22

回帖

299

粉丝

8

关注

私信

suuuuu: 4 楼

华哥知道，不过他正在西瓜摊买瓜

2023-5-15 14:24

0

joker陈

雪币： 11436

活跃值： (3365)

能力值：

( LV5，RANK：71 )

在线值：

发帖

18

回帖

341

粉丝

4

关注

私信

joker陈: 5 楼

ntquerysysteminfromation

2023-5-16 11:54

0

saloyun

雪币： 827

活跃值： (3253)

能力值：

( LV2，RANK：10 )

在线值：

发帖

7

回帖

255

粉丝

2

关注

私信

saloyun: 6 楼

ZwQuerySystemInformation +SystemModuleInformation

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

NTSTATUS nStatus = STATUS_SUCCESS;
ULONG ulBytes = 0;
PRTL_PROCESS_MODULES pMods = nullptr;
std::unique_ptr<char[]> pBuffers = nullptr;
do
{
    nStatus = ZwQuerySystemInformation(SystemModuleInformation, 0, ulBytes, &ulBytes);
    if (ulBytes == 0)
    {
        break;
    }
    pBuffers = std::make_unique<char[]>(ulBytes);
    RtlZeroMemory(pBuffers.get(), ulBytes);
 
    pMods = (PRTL_PROCESS_MODULES)pBuffers.get();
    nStatus = ZwQuerySystemInformation(SystemModuleInformation, pMods, ulBytes, &ulBytes);
    if (!NT_SUCCESS(nStatus))
    {
        break;
    }
 
    PRTL_PROCESS_MODULE_INFORMATION pMod = pMods->Modules;
    for (ULONG i = 0; i < pMods->NumberOfModules; i++)
    {
        PCHAR pFileName = strrchr((char*)(pMod[i].FullPathName), '\\');
        if (NULL != pFileName)
        {
            if (0 == _stricmp("\\ntoskrnl.exe", pFileName) ||
                0 == _stricmp("\\ntkrnlmp.exe", pFileName) ||
                0 == _stricmp("\\ntkrnlpa.exe", pFileName) ||
                0 == _stricmp("\\ntkrpamp.exe", pFileName)
                )
            {
                std::cout << pMod[i].FullPathName << "-->0x" << std::hex << pMod[i].ImageBase << std::endl;
                break;
            }
        }
        else
        {
            if (0 == _stricmp("ntoskrnl.exe", (char*)pMod[i].FullPathName) ||
                0 == _stricmp("ntkrnlmp.exe", (char*)pMod[i].FullPathName) ||
                0 == _stricmp("ntkrnlpa.exe", (char*)pMod[i].FullPathName) ||
                0 == _stricmp("ntkrpamp.exe", (char*)pMod[i].FullPathName)
                )
            {
                std::cout << pMod[i].FullPathName << "-->0x" << std::hex << pMod[i].ImageBase << std::endl;
                break;
            }
        }
    }
 
} while (0);  