阅读:1601回复:3
请教对WIN32K.SYS中的函数如何按函数名动态获取serviceID?
我想HOOK WIN32K。SYS中的函数,但各个函数在不同平台下的服务号并不一样。
在KERNEL.EXE\ntdll.dll下是可以分析PE文件,根据函数名动态得到服务号的,但对于WIN32K。SYS就不行。为什么? 请教怎样对WIN32K.SYS中的函数如何按函数名动态获取serviceID? |
|
沙发#
发布于:2007-01-13 17:58
User32.dll->ntdll.dll->win32k.sys~~
特大的圈~~ |
|
|
板凳#
发布于:2007-01-20 20:45
HOOK USER32.DLL不是我的目标.NTDLL.DLL中没有WIN32K.SYS的函数.
我已经能在核心层HOOK WIN32K.SYS中的函数了(通过SERVICE SHADOW表).就是在不同WINDOWS平台下查出该函数的服务号比较烦.一个函数倒无所谓,多了就烦. 请killvxk指点一下吧. |
|
地板#
发布于:2007-01-22 07:48
User32!XXX函数搜特征查到NTDLL+0X???地址,到该地址搜特征,得到Win32k的ServiceID
貌似这样~~ 反正我是硬编码了~ |
|
|