[求助]（有源码）居然把NtReadVirtualMemory换成ZwQuerySystemInformation就能编译了？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]（有源码）居然把NtReadVirtualMemory换成ZwQuerySystemInformation就能编译了？

发表于: 2009-7-25 19:58 10292

[求助]（有源码）居然把NtReadVirtualMemory换成ZwQuerySystemInformation就能编译了？

madaxian

2009-7-25 19:58

10292

这是一个获取ZwQuerySystemInformation函数地址的例子.
怪了换成NtReadVirtualMemory就不行，真是奇怪。
还有

//获得函数在SSDT中的索引宏
#define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1)

这个宏是怎么用的传进的 _Function 应该是什么东西？

附不能编译的和能编译的：

不能编译：

#include "ntddk.h"

typedef unsigned long DWORD;
typedef DWORD * PDWORD;

typedef struct ServiceDescriptorEntry {
  unsigned int *ServiceTableBase;
  unsigned int *ServiceCounterTableBase; //仅适用于checked build版本
  unsigned int NumberOfServices;
  unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;


__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

//获得SSDT基址宏
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]


PVOID *MappedSystemCallTable;

//获得函数在SSDT中的索引宏
#define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1)

//调换自己的hook函数与原系统函数的地址
#define HOOK_SYSCALL(_Function, _Hook, _Orig ) \
_Orig = (PVOID) InterlockedExchange( (PLONG) &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook)


typedef NTSTATUS (*NtReadVirtualMemory)
(
IN HANDLE               ProcessHandle,
  IN PVOID                BaseAddress,
  OUT PVOID               Buffer,
  IN ULONG                NumberOfBytesToRead,
  OUT PULONG              NumberOfBytesReaded OPTIONAL
);





VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
  DbgPrint("ROOTKIT: OnUnload called\n");

  

}


NTSTATUS DriverEntry(IN PDRIVER_OBJECT theDriverObject, 
           IN PUNICODE_STRING theRegistryPath)
{       
      ULONG AAA;
  DbgPrint("ROOTKIT: Start\n");
  
  theDriverObject->DriverUnload = OnUnload; 

        
  
  AAA = SYSTEMSERVICE(NtReadVirtualMemory);
        
        DbgPrint("%08X\r\n",AAA);
  
        return STATUS_SUCCESS;
}

能编译：

#include "ntddk.h"

typedef unsigned long DWORD;
typedef DWORD * PDWORD;

typedef struct ServiceDescriptorEntry {
  unsigned int *ServiceTableBase;
  unsigned int *ServiceCounterTableBase; //仅适用于checked build版本
  unsigned int NumberOfServices;
  unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;


__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

//获得SSDT基址宏
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]


PVOID *MappedSystemCallTable;

//获得函数在SSDT中的索引宏
#define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1)

//调换自己的hook函数与原系统函数的地址
#define HOOK_SYSCALL(_Function, _Hook, _Orig ) \
_Orig = (PVOID) InterlockedExchange( (PLONG) &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook)

NTSYSAPI
NTSTATUS
NTAPI ZwQuerySystemInformation(
                 IN ULONG SystemInformationClass,
                 IN PVOID SystemInformation,
                 IN ULONG SystemInformationLength,
                 OUT PULONG ReturnLength);


typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)(
                       ULONG SystemInformationCLass,
                       PVOID SystemInformation,
                       ULONG SystemInformationLength,
                       PULONG ReturnLength
);

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
  DbgPrint("ROOTKIT: OnUnload called\n");

  

}


NTSTATUS DriverEntry(IN PDRIVER_OBJECT theDriverObject, 
           IN PUNICODE_STRING theRegistryPath)
{       
DWORD aaa;
  DbgPrint("ROOTKIT: Start\n");
  // 注册一个卸载的分发函数，与应用层沟通
  theDriverObject->DriverUnload = OnUnload; 

        
  
  aaa = SYSTEMSERVICE(ZwQuerySystemInformation);
        
        DbgPrint("%08X\r\n",aaa);
  
        return STATUS_SUCCESS;
}

可是我想获取的是NtReadVirtualMemory的地址

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层

上传的附件：

能编译附sys.rar （27.23kb，21次下载）
不能编译附err文件.rar （15.86kb，13次下载）

收藏・2

免费・0

支持

最新回复 (20)
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼 NtReadVirtualMemory没有导出。当然不行了 2009-7-25 20:35 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 3 楼 Zw函数的开始是mov eax,XXX XXX也就是索引（服务号）。比如nt!ZwQuerySystemInformation: 80501ac0 b8ad000000 mov eax,0ADh 这条指令5字节，后面4字节就是服务号，因此可以看到SYSCALL_INDEX中(PUCHAR)_Function+1)，_Function是Zw函数地址。其实，这个SYSTEMSERVICE得到的就是相应的Nt*函数地址。 2009-7-25 21:43 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼 NtReadVirtualMemory明明导出 2009-7-25 23:12 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 5 楼导出未导出文档未文档可不是一个意思啊 2009-7-25 23:14 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼 NtReadVirtualMemory导出未文档函数可以直接用函数名做变量的 2009-7-25 23:16 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼未导出函数函数名不可做变量使用函数地址需要自己定位 ssdt中的导出函数，均可利用宏 #define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)] 获取函数地址 2009-7-25 23:17 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 8 楼 [QUOTE=竹君;661120]未导出函数函数名不可做变量使用函数地址需要自己定位 ssdt中的导出函数，均可利用宏 #define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function...[/QUOTE] 竹君！能不能帮我修改一下。这么说的话我还是不知道应该怎么做！ 2009-7-26 12:19 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 9 楼 madaxian=马大仙？其实最近你提的这些问题网上早就有答案了何不搜索一下？ #define SYSCALL_INDEX(_Function) (PULONG) ((PUCHAR)_Function+1) 把上面的宏分成两部分理解 1 ((PUCHAR)_Function+1) Function是函数地址把Function转换成字符指针 +1是SSDT 函数的特性可以获取SSDT对应服务号 ntdll!NtReadVirtualMemory: 7c92e2bb b8ba000000 mov eax,0BAh 7c92e2c0 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92e2c5 ff12 call dword ptr [edx] 7c92e2c7 c21400 ret 14h 7c92e2ca 90 nop 2 (PULONG) 然后转换成ULONG指针取这个ULONG指针的值也就是获取上面的 0BAh 要用NtReadVirtualMemory的话你可以在R3 获取NTDLL 中 NtReadVirtualMemory函数地址然后IO(PASSIVE_LEVEL级别)给R0的SYSTEMSERVICE宏就可以获取当前SSDT 表NtReadVirtualMemory 函数的地址了 2009-7-26 15:23 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 10 楼不是不想帮你，你还是自己写下代码吧。不要下人家的代码在那修改。这样你根本学不到东西 2009-7-26 17:25 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 11 楼 xacker！我在r3直接获取 0BAh 然后传给驱动不是更方便么？ 2009-7-26 18:05 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 12 楼 NtReadVirtualMemory是未导出函数!导出或未导出看ntoskrnl.exe导出表就晓得了...用下面的GetDllFunctionAddress函数就可以获取到他的函数地址！ DWORD GetDllFunctionAddress(char* lpFunctionName, PUNICODE_STRING pDllName) { HANDLE hThread, hSection, hFile, hMod; SECTION_IMAGE_INFORMATION sii; IMAGE_DOS_HEADER* dosheader; IMAGE_OPTIONAL_HEADER* opthdr; IMAGE_EXPORT_DIRECTORY* pExportTable; DWORD* arrayOfFunctionAddresses; DWORD* arrayOfFunctionNames; WORD* arrayOfFunctionOrdinals; DWORD functionOrdinal; DWORD Base, x, functionAddress; char* functionName; STRING ntFunctionName, ntFunctionNameSearch; PVOID BaseAddress = NULL; SIZE_T size=0; OBJECT_ATTRIBUTES oa = {sizeof oa, 0, pDllName, OBJ_CASE_INSENSITIVE}; IO_STATUS_BLOCK iosb; ZwOpenFile(&hFile, FILE_EXECUTE \| SYNCHRONIZE, &oa, &iosb, FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT); oa.ObjectName = 0; ZwCreateSection(&hSection, SECTION_ALL_ACCESS, &oa, 0,PAGE_EXECUTE, SEC_IMAGE, hFile); ZwMapViewOfSection(hSection, NtCurrentProcess(), &BaseAddress, 0, 1000, 0, &size, (SECTION_INHERIT)1, MEM_TOP_DOWN, PAGE_READWRITE); ZwClose(hFile); hMod = BaseAddress; dosheader = (IMAGE_DOS_HEADER )hMod; opthdr =(IMAGE_OPTIONAL_HEADER ) ((BYTE)hMod+dosheader->e_lfanew+24); pExportTable =(IMAGE_EXPORT_DIRECTORY)((BYTE) hMod + opthdr->DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT]. VirtualAddress); arrayOfFunctionAddresses = (DWORD)( (BYTE)hMod + pExportTable->AddressOfFunctions); arrayOfFunctionNames = (DWORD)( (BYTE)hMod + pExportTable->AddressOfNames); arrayOfFunctionOrdinals = (WORD)( (BYTE)hMod + pExportTable->AddressOfNameOrdinals); Base = pExportTable->Base; RtlInitString(&ntFunctionNameSearch, lpFunctionName); for(x = 0; x < pExportTable->NumberOfFunctions; x++) { functionName = (char)( (BYTE)hMod + arrayOfFunctionNames[x]); RtlInitString(&ntFunctionName, functionName); functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1; functionAddress = (DWORD)( (BYTE)hMod + arrayOfFunctionAddresses[functionOrdinal]); if (RtlCompareString(&ntFunctionName, &ntFunctionNameSearch, TRUE) == 0) { ZwClose(hSection); return functionAddress; } } ZwClose(hSection); return 0; } 2009-7-26 18:52 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 13 楼是的你认为怎么方便就可以怎么做直接IO服务ID的话把那个宏改一下就可以了 #define SYSTEMSERVICE(ID) KeServiceDescriptorTable.ServiceTableBase[ ID] BTW: 头像没见过... SASUKE么? 2009-7-26 20:09 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 14 楼无语了说多少次了NtReadVirtualMemory是ntdll.dll导出函数 SSDT都有 2009-7-28 15:09 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 15 楼 12楼代码真是大材小用 2009-7-28 15:10 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 16 楼自己解析NTDLL导出表取函数地址这个函数也只有这个用途了怎么能说大材小用呢如果是真正的未导出函数 PE的导出表里可找不到不过我等小菜喜欢图简单一般是用不上这个能一句代码完事就不用第二句哈哈 2009-7-28 16:21 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 17 楼 ntdll.dll导出表咋看不到？ 2009-7-28 18:02 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 18 楼他说的是ntoskrnl.exe没导出..... 汗死，如果NtReadVirtualMemory是导出函数,你自己实验下用你说的那个宏看能不能获取......... 2009-7-28 20:39 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 19 楼 ntdll导出了有必要从ntoskrnl去取地址码？本来就是个SSDT HOOK 2009-7-28 20:42 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 20 楼没意义此贴可结了 2009-7-28 20:43 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 21 楼 ....不然该怎么取,请教一下.... 2009-7-28 20:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

madaxian

发帖

216

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼 NtReadVirtualMemory没有导出。当然不行了 2009-7-25 20:35 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 3 楼 Zw函数的开始是mov eax,XXX XXX也就是索引（服务号）。比如nt!ZwQuerySystemInformation: 80501ac0 b8ad000000 mov eax,0ADh 这条指令5字节，后面4字节就是服务号，因此可以看到SYSCALL_INDEX中(PUCHAR)_Function+1)，_Function是Zw函数地址。其实，这个SYSTEMSERVICE得到的就是相应的Nt*函数地址。 2009-7-25 21:43 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼 NtReadVirtualMemory明明导出 2009-7-25 23:12 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 5 楼导出未导出文档未文档可不是一个意思啊 2009-7-25 23:14 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼 NtReadVirtualMemory导出未文档函数可以直接用函数名做变量的 2009-7-25 23:16 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 7 楼未导出函数函数名不可做变量使用函数地址需要自己定位 ssdt中的导出函数，均可利用宏 #define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)] 获取函数地址 2009-7-25 23:17 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 8 楼 [QUOTE=竹君;661120]未导出函数函数名不可做变量使用函数地址需要自己定位 ssdt中的导出函数，均可利用宏 #define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function...[/QUOTE] 竹君！能不能帮我修改一下。这么说的话我还是不知道应该怎么做！ 2009-7-26 12:19 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 9 楼 madaxian=马大仙？其实最近你提的这些问题网上早就有答案了何不搜索一下？ #define SYSCALL_INDEX(_Function) (PULONG) ((PUCHAR)_Function+1) 把上面的宏分成两部分理解 1 ((PUCHAR)_Function+1) Function是函数地址把Function转换成字符指针 +1是SSDT 函数的特性可以获取SSDT对应服务号 ntdll!NtReadVirtualMemory: 7c92e2bb b8ba000000 mov eax,0BAh 7c92e2c0 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92e2c5 ff12 call dword ptr [edx] 7c92e2c7 c21400 ret 14h 7c92e2ca 90 nop 2 (PULONG) 然后转换成ULONG指针取这个ULONG指针的值也就是获取上面的 0BAh 要用NtReadVirtualMemory的话你可以在R3 获取NTDLL 中 NtReadVirtualMemory函数地址然后IO(PASSIVE_LEVEL级别)给R0的SYSTEMSERVICE宏就可以获取当前SSDT 表NtReadVirtualMemory 函数的地址了 2009-7-26 15:23 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 10 楼不是不想帮你，你还是自己写下代码吧。不要下人家的代码在那修改。这样你根本学不到东西 2009-7-26 17:25 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 11 楼 xacker！我在r3直接获取 0BAh 然后传给驱动不是更方便么？ 2009-7-26 18:05 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 12 楼 NtReadVirtualMemory是未导出函数!导出或未导出看ntoskrnl.exe导出表就晓得了...用下面的GetDllFunctionAddress函数就可以获取到他的函数地址！ DWORD GetDllFunctionAddress(char* lpFunctionName, PUNICODE_STRING pDllName) { HANDLE hThread, hSection, hFile, hMod; SECTION_IMAGE_INFORMATION sii; IMAGE_DOS_HEADER* dosheader; IMAGE_OPTIONAL_HEADER* opthdr; IMAGE_EXPORT_DIRECTORY* pExportTable; DWORD* arrayOfFunctionAddresses; DWORD* arrayOfFunctionNames; WORD* arrayOfFunctionOrdinals; DWORD functionOrdinal; DWORD Base, x, functionAddress; char* functionName; STRING ntFunctionName, ntFunctionNameSearch; PVOID BaseAddress = NULL; SIZE_T size=0; OBJECT_ATTRIBUTES oa = {sizeof oa, 0, pDllName, OBJ_CASE_INSENSITIVE}; IO_STATUS_BLOCK iosb; ZwOpenFile(&hFile, FILE_EXECUTE \| SYNCHRONIZE, &oa, &iosb, FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT); oa.ObjectName = 0; ZwCreateSection(&hSection, SECTION_ALL_ACCESS, &oa, 0,PAGE_EXECUTE, SEC_IMAGE, hFile); ZwMapViewOfSection(hSection, NtCurrentProcess(), &BaseAddress, 0, 1000, 0, &size, (SECTION_INHERIT)1, MEM_TOP_DOWN, PAGE_READWRITE); ZwClose(hFile); hMod = BaseAddress; dosheader = (IMAGE_DOS_HEADER )hMod; opthdr =(IMAGE_OPTIONAL_HEADER ) ((BYTE)hMod+dosheader->e_lfanew+24); pExportTable =(IMAGE_EXPORT_DIRECTORY)((BYTE) hMod + opthdr->DataDirectory[ IMAGE_DIRECTORY_ENTRY_EXPORT]. VirtualAddress); arrayOfFunctionAddresses = (DWORD)( (BYTE)hMod + pExportTable->AddressOfFunctions); arrayOfFunctionNames = (DWORD)( (BYTE)hMod + pExportTable->AddressOfNames); arrayOfFunctionOrdinals = (WORD)( (BYTE)hMod + pExportTable->AddressOfNameOrdinals); Base = pExportTable->Base; RtlInitString(&ntFunctionNameSearch, lpFunctionName); for(x = 0; x < pExportTable->NumberOfFunctions; x++) { functionName = (char)( (BYTE)hMod + arrayOfFunctionNames[x]); RtlInitString(&ntFunctionName, functionName); functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1; functionAddress = (DWORD)( (BYTE)hMod + arrayOfFunctionAddresses[functionOrdinal]); if (RtlCompareString(&ntFunctionName, &ntFunctionNameSearch, TRUE) == 0) { ZwClose(hSection); return functionAddress; } } ZwClose(hSection); return 0; } 2009-7-26 18:52 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 13 楼是的你认为怎么方便就可以怎么做直接IO服务ID的话把那个宏改一下就可以了 #define SYSTEMSERVICE(ID) KeServiceDescriptorTable.ServiceTableBase[ ID] BTW: 头像没见过... SASUKE么? 2009-7-26 20:09 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 14 楼无语了说多少次了NtReadVirtualMemory是ntdll.dll导出函数 SSDT都有 2009-7-28 15:09 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 15 楼 12楼代码真是大材小用 2009-7-28 15:10 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 16 楼自己解析NTDLL导出表取函数地址这个函数也只有这个用途了怎么能说大材小用呢如果是真正的未导出函数 PE的导出表里可找不到不过我等小菜喜欢图简单一般是用不上这个能一句代码完事就不用第二句哈哈 2009-7-28 16:21 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 17 楼 ntdll.dll导出表咋看不到？ 2009-7-28 18:02 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 18 楼他说的是ntoskrnl.exe没导出..... 汗死，如果NtReadVirtualMemory是导出函数,你自己实验下用你说的那个宏看能不能获取......... 2009-7-28 20:39 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 19 楼 ntdll导出了有必要从ntoskrnl去取地址码？本来就是个SSDT HOOK 2009-7-28 20:42 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 20 楼没意义此贴可结了 2009-7-28 20:43 0
zzage 雪币： 612 活跃值： (996) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 103 粉丝 2 关注私信	zzage 1 21 楼 ....不然该怎么取,请教一下.... 2009-7-28 20:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复