[讨论]SSDT 问题 eax=136-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
suRbYmiR 雪币： 371 活跃值： (67) 能力值： ( LV9，RANK：260 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	suRbYmiR 6 2 楼可能是该软件的驱动提供了136h号的SSDT函数. 需得注意SSDT是可以扩展的,杀毒软件等都喜欢在该表中填加一些项,为ring3到ring0中自己函数调用搭好一张桥. 2008-12-4 14:28 0
suRbYmiR 雪币： 371 活跃值： (67) 能力值： ( LV9，RANK：260 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	suRbYmiR 6 3 楼搭一张好桥...哈哈.... 2008-12-4 14:51 0
zhuantou 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 18 粉丝 0 关注私信	zhuantou 4 楼谢谢 suRbYmiR 大侠 2008-12-5 09:47 0
zhuantou 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 18 粉丝 0 关注私信	zhuantou 5 楼还想问下我怎么才能看到136对应的是什么函数呢，我用Windbg 看SSDT 中136的地址是无效地址 2008-12-5 09:58 0
suRbYmiR 雪币： 371 活跃值： (67) 能力值： ( LV9，RANK：260 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	suRbYmiR 6 6 楼 1. 感谢抬举,我不是什么大侠...哈哈..菜鸟一个. 2.如果是无效的地址,可能是该驱动没有加载吧.你可以试着先在虚拟机od,或者windbg断在int 2eh.然后使用windbg来d KeServiceDescriptorTable...然后加上偏移量查看具体位置.然后根据该地址查找到相应的驱动文件. 3.当然需得注意可能不是这个原因.你这个问题有很多种的可能性.你自己可以具体分析.查找一些资料. ---- 求人不如求已嘛...嘿嘿. 2008-12-6 18:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
suRbYmiR 雪币： 371 活跃值： (67) 能力值： ( LV9，RANK：260 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	suRbYmiR 6 2 楼可能是该软件的驱动提供了136h号的SSDT函数. 需得注意SSDT是可以扩展的,杀毒软件等都喜欢在该表中填加一些项,为ring3到ring0中自己函数调用搭好一张桥. 2008-12-4 14:28 0
suRbYmiR 雪币： 371 活跃值： (67) 能力值： ( LV9，RANK：260 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	suRbYmiR 6 3 楼搭一张好桥...哈哈.... 2008-12-4 14:51 0
zhuantou 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 18 粉丝 0 关注私信	zhuantou 4 楼谢谢 suRbYmiR 大侠 2008-12-5 09:47 0
zhuantou 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 18 粉丝 0 关注私信	zhuantou 5 楼还想问下我怎么才能看到136对应的是什么函数呢，我用Windbg 看SSDT 中136的地址是无效地址 2008-12-5 09:58 0
suRbYmiR 雪币： 371 活跃值： (67) 能力值： ( LV9，RANK：260 ) 在线值：发帖 21 回帖 137 粉丝 0 关注私信	suRbYmiR 6 6 楼 1. 感谢抬举,我不是什么大侠...哈哈..菜鸟一个. 2.如果是无效的地址,可能是该驱动没有加载吧.你可以试着先在虚拟机od,或者windbg断在int 2eh.然后使用windbg来d KeServiceDescriptorTable...然后加上偏移量查看具体位置.然后根据该地址查找到相应的驱动文件. 3.当然需得注意可能不是这个原因.你这个问题有很多种的可能性.你自己可以具体分析.查找一些资料. ---- 求人不如求已嘛...嘿嘿. 2008-12-6 18:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [讨论]SSDT 问题 eax=136 0.00雪花