[求助]请问如何理解KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 2 楼 http://www.3800hk.com/news/w31/6643.html :u ZwOpenKey ntoskrnl!ZwOpenKey 0008:80400E2A B867000000 MOV EAX,00000067 \| \|_ServiceID \|_机器码(其中第二字节即ZwOpenKey线性地址加一处就是ServiceID) 0008:80400E2F 8D542404 LEA EDX,[ESP+04] 0008:80400E33 CD2E INT 2E 0008:80400E35 C20C00 RET 000C 2008-4-10 13:37 0
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 3 楼这篇文章讲的也很清楚了 http://bbs.pediy.com/showthread.php?t=42422&highlight=%E5%BF%85%E5%A4%87+%E5%A4%87%E7%BB%9D+%E7%BB%9D%E6%8A%80 2008-4-10 13:53 0
jwtck 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	jwtck 4 楼谢谢 \|_机器码(其中第二字节即ZwOpenKey线性地址加一处就是ServiceID) 没想到还真是这样。。。。 2008-4-10 14:12 0
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 5 楼 ZwCreateFile(...) disassembled mov eax, 17h // system call # is 0x17 for NT (0x20 for 2k, 0x25 for XP) lea edx, [esp+4] // make edx point to function params (user-mode stack) // lea : loads edx with address of user args int 2Eh // execute sys call trap for NT, 2k on x86 // (SYSENTER is used for XP,2003 on x86) ret 2Ch 主要是这种函数的实现决定的，它的第一条指令是mov eax，id，看看原始数据就更清楚了！ 2008-4-10 14:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 2 楼 http://www.3800hk.com/news/w31/6643.html :u ZwOpenKey ntoskrnl!ZwOpenKey 0008:80400E2A B867000000 MOV EAX,00000067 \| \|_ServiceID \|_机器码(其中第二字节即ZwOpenKey线性地址加一处就是ServiceID) 0008:80400E2F 8D542404 LEA EDX,[ESP+04] 0008:80400E33 CD2E INT 2E 0008:80400E35 C20C00 RET 000C 2008-4-10 13:37 0
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 3 楼这篇文章讲的也很清楚了 http://bbs.pediy.com/showthread.php?t=42422&highlight=%E5%BF%85%E5%A4%87+%E5%A4%87%E7%BB%9D+%E7%BB%9D%E6%8A%80 2008-4-10 13:53 0
jwtck 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 65 粉丝 0 关注私信	jwtck 4 楼谢谢 \|_机器码(其中第二字节即ZwOpenKey线性地址加一处就是ServiceID) 没想到还真是这样。。。。 2008-4-10 14:12 0
davidfoxhu 雪币： 2559 活跃值： (176) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 175 粉丝 0 关注私信	davidfoxhu 1 5 楼 ZwCreateFile(...) disassembled mov eax, 17h // system call # is 0x17 for NT (0x20 for 2k, 0x25 for XP) lea edx, [esp+4] // make edx point to function params (user-mode stack) // lea : loads edx with address of user args int 2Eh // execute sys call trap for NT, 2k on x86 // (SYSENTER is used for XP,2003 on x86) ret 2Ch 主要是这种函数的实现决定的，它的第一条指令是mov eax，id，看看原始数据就更清楚了！ 2008-4-10 14:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复