-
-
[求助]关于ssdt表里面的函数地址重定位
-
发表于:
2008-12-15 13:01
5186
-
0000CEB0 BB 1F 4B 00 E4 58 4A 00 B8 7C 4D 00 21 60 4D 00 ?K.鋁J.竱M.!`M.
0000CEC0 3F 7D 4D 00 E4 73 56 00 75 95 56 00 BE 95 56 00 ?}M.鋝V.u昖.緯V.
0000CED0 6E 1F 4A 00 8B 72 57 00 A7 6B 56 00 76 76 4D 00 n.J.媟W.V.vvM.
0000CEE0 BA EE 55 00 AF BC 4A 00 D5 21 4D 00 0A 5D 55 00 侯U.J.?M..]U.
0000CEF0 19 C5 4C 00 06 8E 49 00 15 D4 4C 00 1C E0 4C 00 .臠..嶪..訪..郘.
。。。
这个是文件中找到的KiServiceTable表,昨天照sudami大牛说的方法找到了内核中ntoskrnl.exe加载的位置80800000,定位第一个函数的地址004b1fbb-400000(这个是默认的imagebase)+80800000=808b1fbb,但这个地址和内核中第一个函数的地址不是一样的。
请问这样重定位错了吗,正确的该怎么定位?万分感谢各位大牛的解答!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
