Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html
代码 3-4
1. 驱动中用户输入PID,通过一系列函数和遍历模块来确定对应的ntdll模块。
2. 在ntdll模块的导出表,通过遍历名字来获取函数导出序号。
其Ntdll中Zw函数开头为 mov eax,序列号,因此我们从第二个字节后获取的就是对应的序列号。
3. 找到索引之后,直接从导出表 KeServiceDescriptorTable 中直接获取,如果记不住该导出变量,直接用IDA搜索 ntoskernl.exe 中的导出模块即可。
注意,其修改时要关闭Cr0的写保护,这很简单。
4. Hook NtQuerySystemInforMation函数的效果
原文地址:https://www.cnblogs.com/onetrainee/p/12685804.html
时间: 2024-10-01 03:06:20