-
-
[求助]MiLookupDataTableEntry函数逆向问题
-
发表于: 2024-6-14 15:20
-
这个函数在逆向时候发现对不上号
众所周知这个函数反馈的是对应地址所在的LDR_DATA_TABLE_ENTRY节点地址。但是我在逆向时发现Win10 x64下该函数对链表遍历及成员获取时不太符合常理
这边拿完系统保存的第一个节点后不应该是拿base+成员对应的偏移量然后获取base和大小么? 这里怎么是减法操作 有点懵
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
第一个base是指LDR_DATA_TABLE_ENTRY的base
|
|
|
我焯 我知道了 这个在win10 64已经变成了RTL_BALANCED_NODE* 该成员位于LDR_DATA_TABLE_ENTRY+e0处 而MiLookupDataTableEntry 函数的遍历方式也变为了遍历二叉树的方法而不是以前的遍历链表的形式 这样就说的通了 是说看循环遍历代码也怪怪的
|
