[求助]求助NtQuerySystemInformation列模块返回的Section是什么?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
FlowerCode 雪币： 202 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	FlowerCode 2009-7-20 21:17 2 楼 0 按照WRK里的代码，ExpQueryModuleInformation并没有操作这个变量。
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 2009-7-20 21:29 3 楼 0 是的, 但是我在windbg在正常系统上能够看到这个成员有值... 它究竟和这个image的section有什么关系呢? 非WRK的定义: typedef struct _SYSTEM_MODULE_INFORMATION_ENTRY { HANDLE Section; PVOID MappedBase; PVOID Base; ULONG Size; ULONG Flags; USHORT LoadOrderIndex; USHORT InitOrderIndex; USHORT LoadCount; USHORT PathLength; CHAR ImageName[256]; } SYSTEM_MODULE_INFORMATION_ENTRY, *PSYSTEM_MODULE_INFORMATION_ENTRY;
techie 雪币： 74 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 41 粉丝 0 关注私信	techie 2009-7-20 22:26 4 楼 0 FileObject中的FileName在MJ_CREATE完成以后不一定存的是真正的文件名
superleft 雪币： 169 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 63 粉丝 0 关注私信	superleft 2009-7-21 09:47 5 楼 0 IDA了下. NtQuerySystemInformation() --> ExpQueryModuleInformation()不会操作 HANDLE Section. 但是能看到这个Section 有值.... 而且在Windbg中看到是很有规律的.. 但无法确定是什么结构. HANDLE Section = 0xE395005C kd> dd 0xE395005C e395005c 001f0001 82395631 00000040 e179b3d1 e395006c 001f0001 82395631 00000040 e1bc1831 e395007c 001f0001 82395631 00000040 e1eefdf9 e395008c 001f0001 82395631 00000040 82395631 e395009c 00000040 82395631 00000040 82395631 e39500ac 00000040 82395631 00000040 82395631 e39500bc 00000040 82395631 00000040 82395631 e39500cc 00000040 82395631 00000040 82395631
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复