[求助]如何取得KeStackAttachProcess的地址-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 390 粉丝 9 关注私信	Sysnap 14 2008-4-18 16:59 2 楼 0 IFS DDK才提供好像
linxer 雪币： 1746 活跃值： (292) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 161 粉丝 20 关注私信	linxer 11 2008-4-19 00:26 3 楼 0 KeServiceDescriptorTable这个表里的都是Nt开头系列函数吧没有KeStackAttachProcess ntoskrnl.exe里导出了这个函数直接extern 就可以用
likecrack 雪币： 157 活跃值： (376) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 117 粉丝 3 关注私信	likecrack 2008-4-19 10:06 4 楼 0 不是哦我系统的这个函数被hook了.我要改回来.
linxer 雪币： 1746 活跃值： (292) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 161 粉丝 20 关注私信	linxer 11 2008-4-19 11:20 5 楼 0 读去内核文件分析导出表恢复
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-4-19 12:20 6 楼 0 __asm mov eax, dword ptr [KeStackAttachProcess]
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 2008-4-19 12:29 7 楼 0 [QUOTE=shoooo;443113]__asm mov eax, dword ptr [KeStackAttachProcess][/QUOTE] 我很赞同
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-4-19 12:36 8 楼 0 这不是西猛兄嘛
likecrack 雪币： 157 活跃值： (376) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 117 粉丝 3 关注私信	likecrack 2008-4-21 09:52 9 楼 0 __asm mov eax, dword ptr [KeStackAttachProcess] 这个好像取不到。只是取到我的驱动的输入表的地址。我修改了一下。就可以取正确了 mov eax, KeStackAttachProcess ;取输入表的地址。取到的应该是jmp KeStackAttachProcess add eax,2 ;加上2跳过前面的长跳转指令。ff 25 mov eax,[eax] ;这里保存的是地址。 mov eax,[eax] ;取地址出来 mov dwOldKeStackAttachProcess,eax invoke DbgPrint, $CTA0("dwOldKeStackAttachProcess:%08X"),eax
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 390 粉丝 9 关注私信	Sysnap 14 2008-4-18 16:59 2 楼 0 IFS DDK才提供好像
linxer 雪币： 1746 活跃值： (292) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 161 粉丝 20 关注私信	linxer 11 2008-4-19 00:26 3 楼 0 KeServiceDescriptorTable这个表里的都是Nt开头系列函数吧没有KeStackAttachProcess ntoskrnl.exe里导出了这个函数直接extern 就可以用
likecrack 雪币： 157 活跃值： (376) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 117 粉丝 3 关注私信	likecrack 2008-4-19 10:06 4 楼 0 不是哦我系统的这个函数被hook了.我要改回来.
linxer 雪币： 1746 活跃值： (292) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 161 粉丝 20 关注私信	linxer 11 2008-4-19 11:20 5 楼 0 读去内核文件分析导出表恢复
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-4-19 12:20 6 楼 0 __asm mov eax, dword ptr [KeStackAttachProcess]
断水流雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 79 粉丝 0 关注私信	断水流 1 2008-4-19 12:29 7 楼 0 [QUOTE=shoooo;443113]__asm mov eax, dword ptr [KeStackAttachProcess][/QUOTE] 我很赞同
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-4-19 12:36 8 楼 0 这不是西猛兄嘛
likecrack 雪币： 157 活跃值： (376) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 117 粉丝 3 关注私信	likecrack 2008-4-21 09:52 9 楼 0 __asm mov eax, dword ptr [KeStackAttachProcess] 这个好像取不到。只是取到我的驱动的输入表的地址。我修改了一下。就可以取正确了 mov eax, KeStackAttachProcess ;取输入表的地址。取到的应该是jmp KeStackAttachProcess add eax,2 ;加上2跳过前面的长跳转指令。ff 25 mov eax,[eax] ;这里保存的是地址。 mov eax,[eax] ;取地址出来 mov dwOldKeStackAttachProcess,eax invoke DbgPrint, $CTA0("dwOldKeStackAttachProcess:%08X"),eax
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复