[已解决]内核函数PsSynchronizeWithThreadInsertion在字节匹配中找不到，是什么原因？-编程技术-看雪安全社区

最新回复 (4)
TkBinary 雪币： 2816 活跃值： (12072) 能力值： (RANK：385 ) 在线值：发帖 25 回帖 478 粉丝 240 关注私信	TkBinary 5 2 楼锁定范围：先在 PAGE 节查找函数，先查找函数头.定位到函数. 过滤掉其他节,排除影响；定位原因：确认下是不是查找算法有问题，还是目标确实不存在；核对环境：检查平台是否一致,查找算法要与你分析的ntosknl系统一致。 2025-11-21 17:00 1
nicklisir 雪币： 118 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	nicklisir 3 楼 TkBinary 锁定范围：先在 PAGE 节查找函数，先查找函数头.定位到函数. 过滤掉其他节,排除影响；定位原因：确认下是不是查找算法有问题，还是目标确实不存在；核对环境：检查平台是否一致,查找算法要与你分 ... 感谢，目前已知算法没问题（其他函数可以找到）,环境全在虚拟机，IDA也在，应该没有问题；我已知的情况是在遍历内核内存的时候，有可能碰到非法地址，直接过滤掉了，我估计PE加载到内存后可能字节发生变化。 2025-11-22 18:29 0
mb_xknjnwpm 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	mb_xknjnwpm 4 楼可能在虚拟机内存设置小了，PAGE段被换出到磁盘了 2025-11-24 08:13 0
nicklisir 雪币： 118 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	nicklisir 5 楼 mb_xknjnwpm 可能在虚拟机内存设置小了，PAGE段被换出到磁盘了哦哦，还有这样的事情，非常感谢 2025-11-24 15:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
TkBinary 雪币： 2816 活跃值： (12072) 能力值： (RANK：385 ) 在线值：发帖 25 回帖 478 粉丝 240 关注私信	TkBinary 5 2 楼锁定范围：先在 PAGE 节查找函数，先查找函数头.定位到函数. 过滤掉其他节,排除影响；定位原因：确认下是不是查找算法有问题，还是目标确实不存在；核对环境：检查平台是否一致,查找算法要与你分析的ntosknl系统一致。 2025-11-21 17:00 1
nicklisir 雪币： 118 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	nicklisir 3 楼 TkBinary 锁定范围：先在 PAGE 节查找函数，先查找函数头.定位到函数. 过滤掉其他节,排除影响；定位原因：确认下是不是查找算法有问题，还是目标确实不存在；核对环境：检查平台是否一致,查找算法要与你分 ... 感谢，目前已知算法没问题（其他函数可以找到）,环境全在虚拟机，IDA也在，应该没有问题；我已知的情况是在遍历内核内存的时候，有可能碰到非法地址，直接过滤掉了，我估计PE加载到内存后可能字节发生变化。 2025-11-22 18:29 0
mb_xknjnwpm 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	mb_xknjnwpm 4 楼可能在虚拟机内存设置小了，PAGE段被换出到磁盘了 2025-11-24 08:13 0
nicklisir 雪币： 118 活跃值： (193) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 19 粉丝 0 关注私信	nicklisir 5 楼 mb_xknjnwpm 可能在虚拟机内存设置小了，PAGE段被换出到磁盘了哦哦，还有这样的事情，非常感谢 2025-11-24 15:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复