[求助]请问SSDT中的索引ID1000以上的函数（NtUserValidateHandleSecure）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼 dd KeServiceDescriptorTableShadow 第2行 2008-2-19 23:47 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 3 楼 KeServiceDescriptorTableShadow+248*4 2008-2-20 09:08 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 4 楼 KeServiceDescriptorTableShadow 其实是个数组,Index的高四位表示使用的是这个数组的下标,比如0x1248,就应该是KeServiceDescriptorTableShadow[1].Base + 0x248 * sizeof(ULONG),一般来说使用1下标的函数都在Win32K.sys实现.不知道我说清楚了没 2008-2-20 09:33 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 5 楼谢谢楼上的，楼上的楼上的，楼上的楼上的楼上的新手需要你们 lkd> dd KeServiceDescriptorTable Couldn't resolve error at 'KeServiceDescriptorTable' lkd> dd KeServiceDescriptorTableShadow Couldn't resolve error at 'KeServiceDescriptorTableShadow ' 这台机器装了360，估计是调不成了(关了360重起仍然不行，原来ring0早已不再干净，成为战场了)。但是换回以前的机器我猜想结果仍然是： lkd> dd KeServiceDescriptorTableShadow Couldn't resolve error at 'KeServiceDescriptorTableShadow ' 据我所知KeServiceDescriptorTableShadow并不是导出的，似乎写程序的话extern不了，不清楚在WINDBG里能否用DD看到。 2008-2-20 11:00 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 6 楼同情一下，我的ring0也是个战场了，我都懒的管了。 2008-2-20 11:29 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 7 楼 symbols加载不正确 2008-2-20 11:34 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 8 楼上MSoft下载了WindowsXP-KB835935-SP2-slp-Symbols 安装。打开Windbg,Ctrl+s,输入了C:\WINDOWS\Symbols,点ok 重新进入后出现： Microsoft (R) Windows Debugger Version 6.8.0004.0 X86 Copyright (c) Microsoft Corporation. All rights reserved. Unable to read head of debugger data list Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE Symbol search path is: C:\WINDOWS\Symbols Executable search path is: * ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe KdDebuggerDataBlock not available! *************************************************************************** WARNING: Local kernel debugging requires booting with kernel debugging support (/debug or bcdedit -debug on) to work optimally. ***************************************************************************** Windows XP Kernel Version 2600 UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Kernel base = 0x80800000 PsLoadedModuleList = 0x80883620 Debug session time: Wed Feb 20 14:47:31.875 2008 (GMT+8) System Uptime: 0 days 3:54:28.467 lkd> dd KdDebuggerDataBlock Couldn't resolve error at 'KdDebuggerDataBlock' lkd> dd KeServiceDescriptorTable Couldn't resolve error at 'KeServiceDescriptorTable' 想把这个问题解决因为以后可能要到网吧调程序了. 2008-2-20 14:49 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 9 楼这个symbol问题很好解决的 http://hi.baidu.com/sudami/blog/item/d62dd22b188968fee6cd40ac.html 2008-2-20 15:18 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼 *** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe 2008-2-21 18:48 0
scz 雪币： 4593 活跃值： (3572) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 250 粉丝 64 关注私信	scz 5 11 楼不必装集合的符号包。直接指定环境变量 set _NT_SYMBOL_PATH=X:\<symbols path>;srvX:\<symbols path>http://msdl.microsoft.com/download/symbols 或者在kd中.sympath手工指定=后的内容。还可以一次性同步一次，效果相当于装集合的"最新"符号包 symchk /op /r x:\windows\system32 2008-2-22 09:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 2 楼 dd KeServiceDescriptorTableShadow 第2行 2008-2-19 23:47 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 3 楼 KeServiceDescriptorTableShadow+248*4 2008-2-20 09:08 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 4 楼 KeServiceDescriptorTableShadow 其实是个数组,Index的高四位表示使用的是这个数组的下标,比如0x1248,就应该是KeServiceDescriptorTableShadow[1].Base + 0x248 * sizeof(ULONG),一般来说使用1下标的函数都在Win32K.sys实现.不知道我说清楚了没 2008-2-20 09:33 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 5 楼谢谢楼上的，楼上的楼上的，楼上的楼上的楼上的新手需要你们 lkd> dd KeServiceDescriptorTable Couldn't resolve error at 'KeServiceDescriptorTable' lkd> dd KeServiceDescriptorTableShadow Couldn't resolve error at 'KeServiceDescriptorTableShadow ' 这台机器装了360，估计是调不成了(关了360重起仍然不行，原来ring0早已不再干净，成为战场了)。但是换回以前的机器我猜想结果仍然是： lkd> dd KeServiceDescriptorTableShadow Couldn't resolve error at 'KeServiceDescriptorTableShadow ' 据我所知KeServiceDescriptorTableShadow并不是导出的，似乎写程序的话extern不了，不清楚在WINDBG里能否用DD看到。 2008-2-20 11:00 0
NWMonster 雪币： 134 活跃值： (84) 能力值： ( LV5，RANK：60 ) 在线值：发帖 26 回帖 457 粉丝 8 关注私信	NWMonster 1 6 楼同情一下，我的ring0也是个战场了，我都懒的管了。 2008-2-20 11:29 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 7 楼 symbols加载不正确 2008-2-20 11:34 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 8 楼上MSoft下载了WindowsXP-KB835935-SP2-slp-Symbols 安装。打开Windbg,Ctrl+s,输入了C:\WINDOWS\Symbols,点ok 重新进入后出现： Microsoft (R) Windows Debugger Version 6.8.0004.0 X86 Copyright (c) Microsoft Corporation. All rights reserved. Unable to read head of debugger data list Connected to Windows XP 2600 x86 compatible target, ptr64 FALSE Symbol search path is: C:\WINDOWS\Symbols Executable search path is: * ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe KdDebuggerDataBlock not available! *************************************************************************** WARNING: Local kernel debugging requires booting with kernel debugging support (/debug or bcdedit -debug on) to work optimally. ***************************************************************************** Windows XP Kernel Version 2600 UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Kernel base = 0x80800000 PsLoadedModuleList = 0x80883620 Debug session time: Wed Feb 20 14:47:31.875 2008 (GMT+8) System Uptime: 0 days 3:54:28.467 lkd> dd KdDebuggerDataBlock Couldn't resolve error at 'KdDebuggerDataBlock' lkd> dd KeServiceDescriptorTable Couldn't resolve error at 'KeServiceDescriptorTable' 想把这个问题解决因为以后可能要到网吧调程序了. 2008-2-20 14:49 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 9 楼这个symbol问题很好解决的 http://hi.baidu.com/sudami/blog/item/d62dd22b188968fee6cd40ac.html 2008-2-20 15:18 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 10 楼 *** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe 2008-2-21 18:48 0
scz 雪币： 4593 活跃值： (3572) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 250 粉丝 64 关注私信	scz 5 11 楼不必装集合的符号包。直接指定环境变量 set _NT_SYMBOL_PATH=X:\<symbols path>;srvX:\<symbols path>http://msdl.microsoft.com/download/symbols 或者在kd中.sympath手工指定=后的内容。还可以一次性同步一次，效果相当于装集合的"最新"符号包 symchk /op /r x:\windows\system32 2008-2-22 09:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复