[求助]如何查到一个 API 最后要调用哪个内核函数-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼 wt . 2009-1-16 12:32 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 3 楼 FindWindow是shadow ssdt里面的，不会通过ntdll.dll 2009-1-16 13:28 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 4 楼 od只跟r3滴,用内核调试器如windbg或者softice或者syser等.... 2009-1-16 13:55 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 5 楼我只是想知道调用的是哪个函数而已..要一个名字.. 楼上说是通过 shadow SSDT .. 2009-1-16 20:11 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼 user32.dll( FindWindow)---->win32k.sys(NtUserFindWindowEx) sub_77D2C7AC proc near mov eax, 117Ah---------------------------------->117AH服务号 mov edx, 7FFE0300h------------------------存放地址指针 call dword ptr [edx] --------------------KiFastSystemCall retn 14h sub_77D2C7AC endp 2009-11-18 13:13 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼   Shadow服务的服务号从0x1000开始，KiFastCallEntry据此判断应该从哪张表里取服务地址。。。 2009-11-18 14:41 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 8 楼应该是117ah，而不是你说的17ah，GDI操作的调用号是大于0x1000的小于1000h的经sysenter处理例程计算后就查KeSeviceDescriptorTable或KeServiceDescriptorTableShadow的第一个成员，也就是SSDT表大于1000h的经sysenter处理例程计算后就查KeServiceDescriptorTableShadow的第2个成员，也就是SSDTShadow表，然后将调用号右移一位得到索引号按你的说法那么sysenter的处理例程都分不清楚17ah是该查ssdt还是查ssdtshadow 2009-11-18 17:19 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 9 楼恩是117Ah 2009-11-18 20:27 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 10 楼 user32.dll( FindWindow)---->win32k.sys(NtUserFindWindowEx) sub_77D2C7AC proc near mov eax, 117Ah---------------------------------->117AH服务号 mov edx, 7FFE0300h------------------------存放地址指针 call dword ptr [edx] --------------------KiFastSystemCall retn 14h sub_77D2C7AC endp sub_77D2C7AC proc near这个是如何确定的？ 2009-12-15 16:12 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 11 楼不好意思，我的IDA出问题了，没看出来。现在好了。 2009-12-15 16:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼 wt . 2009-1-16 12:32 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 3 楼 FindWindow是shadow ssdt里面的，不会通过ntdll.dll 2009-1-16 13:28 0
yanxizhen 雪币： 70 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 92 粉丝 0 关注私信	yanxizhen 4 楼 od只跟r3滴,用内核调试器如windbg或者softice或者syser等.... 2009-1-16 13:55 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 5 楼我只是想知道调用的是哪个函数而已..要一个名字.. 楼上说是通过 shadow SSDT .. 2009-1-16 20:11 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼 user32.dll( FindWindow)---->win32k.sys(NtUserFindWindowEx) sub_77D2C7AC proc near mov eax, 117Ah---------------------------------->117AH服务号 mov edx, 7FFE0300h------------------------存放地址指针 call dword ptr [edx] --------------------KiFastSystemCall retn 14h sub_77D2C7AC endp 2009-11-18 13:13 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼   Shadow服务的服务号从0x1000开始，KiFastCallEntry据此判断应该从哪张表里取服务地址。。。 2009-11-18 14:41 0
kalrey 雪币： 146 活跃值： (33) 能力值： ( LV5，RANK：60 ) 在线值：发帖 28 回帖 171 粉丝 1 关注私信	kalrey 1 8 楼应该是117ah，而不是你说的17ah，GDI操作的调用号是大于0x1000的小于1000h的经sysenter处理例程计算后就查KeSeviceDescriptorTable或KeServiceDescriptorTableShadow的第一个成员，也就是SSDT表大于1000h的经sysenter处理例程计算后就查KeServiceDescriptorTableShadow的第2个成员，也就是SSDTShadow表，然后将调用号右移一位得到索引号按你的说法那么sysenter的处理例程都分不清楚17ah是该查ssdt还是查ssdtshadow 2009-11-18 17:19 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 9 楼恩是117Ah 2009-11-18 20:27 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 10 楼 user32.dll( FindWindow)---->win32k.sys(NtUserFindWindowEx) sub_77D2C7AC proc near mov eax, 117Ah---------------------------------->117AH服务号 mov edx, 7FFE0300h------------------------存放地址指针 call dword ptr [edx] --------------------KiFastSystemCall retn 14h sub_77D2C7AC endp sub_77D2C7AC proc near这个是如何确定的？ 2009-12-15 16:12 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 11 楼不好意思，我的IDA出问题了，没看出来。现在好了。 2009-12-15 16:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复