首页
社区
课程
招聘
[已解决]NtQueryVirtualMemory 问题
发表于: 2008-5-24 20:12 11452

[已解决]NtQueryVirtualMemory 问题

2008-5-24 20:12
11452
看到 ntoskrnl.exe 没有导出 NtQueryVirtualMemory

ring 0 不能调用 NtQueryVirtualMemory 了把?
得自己写 NtQueryVirtualMemory 把?

我这样调用         Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0xB2 * 4;//0xB2为NtQueryVirtualMemory服务ID

Address 有值

ntStatus = ((NtQueryVirtualMemory)Address)(hHandle,mbi.BaseAddress,0,&mbi,sizeof(mbi),&ResultLength);

直接蓝了.. 是调用方法不对???

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
2
下面是摘我以前的文章的一段:::
:
:
从ntdll.dll获得索引比如NtQueueApcThread,
.text:7C92E23D                      mov          eax, 0B4h            ; NtQueueApcThread
.text:7C92E242                      mov          edx, 7FFE0300h
.text:7C92E247                      call         dword ptr [edx]
.text:7C92E249                      retn         14h
好了,记下0B4h
#pragma pack(1)
typedef struct ServiceDescriptorEntry {
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase;
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()
extern "C"__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

typedef NTSTATUS (*NTQUEUEAPCTHREAD)(
IN HANDLE                    ThreadHandle,  
IN PIO_APC_ROUTINE           ApcRoutine,  
IN PVOID                     ApcRoutineContext OPTIONAL,
IN PIO_STATUS_BLOCK          ApcStatusBlock OPTIONAL,  
IN ULONG                     ApcReserved OPTIONAL );
NTQUEUEAPCTHREAD NtQueueApcThread;
:
:
:
NtQueueApcThread =*(KeServiceDescriptorTable.ServiceTableBase + 0x0B4);
2008-5-24 20:30
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
晕哦  我好想计算地址错了. 我按你的方法测测看
2008-5-24 20:37
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
已解决已解决
2008-5-24 20:48
0
雪    币: 354
活跃值: (10)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
5
是对的,不明白说明你指针没学好
2008-5-24 20:58
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
...  刚才复制了一半.. 现在弄好了
2008-5-24 21:13
0
游客
登录 | 注册 方可回帖
返回
//