[求助]如何取得KeStackAttachProcess的地址-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 2 楼 IFS DDK才提供好像 2008-4-18 16:59 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 3 楼 KeServiceDescriptorTable这个表里的都是Nt开头系列函数吧没有KeStackAttachProcess ntoskrnl.exe里导出了这个函数直接extern 就可以用 2008-4-19 00:26 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 4 楼不是哦我系统的这个函数被hook了.我要改回来. 2008-4-19 10:06 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 5 楼读去内核文件分析导出表恢复 2008-4-19 11:20 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 6 楼 __asm mov eax, dword ptr [KeStackAttachProcess] 2008-4-19 12:20 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 7 楼 [QUOTE=shoooo;443113]__asm mov eax, dword ptr [KeStackAttachProcess][/QUOTE] 我很赞同 2008-4-19 12:29 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 8 楼这不是西猛兄嘛 2008-4-19 12:36 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 9 楼 __asm mov eax, dword ptr [KeStackAttachProcess] 这个好像取不到。只是取到我的驱动的输入表的地址。我修改了一下。就可以取正确了 mov eax, KeStackAttachProcess ;取输入表的地址。取到的应该是jmp KeStackAttachProcess add eax,2 ;加上2跳过前面的长跳转指令。ff 25 mov eax,[eax] ;这里保存的是地址。 mov eax,[eax] ;取地址出来 mov dwOldKeStackAttachProcess,eax invoke DbgPrint, $CTA0("dwOldKeStackAttachProcess:%08X"),eax 2008-4-21 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 2 楼 IFS DDK才提供好像 2008-4-18 16:59 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 3 楼 KeServiceDescriptorTable这个表里的都是Nt开头系列函数吧没有KeStackAttachProcess ntoskrnl.exe里导出了这个函数直接extern 就可以用 2008-4-19 00:26 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 4 楼不是哦我系统的这个函数被hook了.我要改回来. 2008-4-19 10:06 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 5 楼读去内核文件分析导出表恢复 2008-4-19 11:20 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 6 楼 __asm mov eax, dword ptr [KeStackAttachProcess] 2008-4-19 12:20 0
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 7 楼 [QUOTE=shoooo;443113]__asm mov eax, dword ptr [KeStackAttachProcess][/QUOTE] 我很赞同 2008-4-19 12:29 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 8 楼这不是西猛兄嘛 2008-4-19 12:36 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 9 楼 __asm mov eax, dword ptr [KeStackAttachProcess] 这个好像取不到。只是取到我的驱动的输入表的地址。我修改了一下。就可以取正确了 mov eax, KeStackAttachProcess ;取输入表的地址。取到的应该是jmp KeStackAttachProcess add eax,2 ;加上2跳过前面的长跳转指令。ff 25 mov eax,[eax] ;这里保存的是地址。 mov eax,[eax] ;取地址出来 mov dwOldKeStackAttachProcess,eax invoke DbgPrint, $CTA0("dwOldKeStackAttachProcess:%08X"),eax 2008-4-21 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复