-
大家讨论一下对于服务描述表中的,可以映射ntdll.dll到核心,分析PE文件,找到调用指令处判断服务号,再在服务描述表中按号找那么其它的例程,变量又如何使用硬编码与调试符号的方法除外暴力搜索的请给出比较稳妥地依据还有其它新方法的,非常欢迎,针对一个例程或变量也可以
◆
◆
-
bmyyyud: [quote]ln是什么东东 List Nearest Symbols a Windbg\'s command [/quote] 还以为是新技术呢,还是用调试符号啊(2005-05-22 12:40)
-
KMK: ln是什么东东 List Nearest Symbols a Windbg\'s command (2005-05-22 12:19)
-
bmyyyud:如何得到未导出的符号名字?是否使用ln来查找,还是遍历pdb文件得到所有的符号名字呢? ln是什么东东(2005-05-22 08:57)
-
cyliu:如何得到未导出的符号名字?是否使用ln来查找,还是遍历pdb文件得到所有的符号名字呢?(2005-05-19 13:24)
-
wywwwl:再顶一下,思路是从已知例程的具体实现与未引出的例程之间的关系 周末结贴,请大家不吝赐教 hook的第一步就是要找到被hook的对象,要找到被hook的对象,就要使用搜索, \"对于服务描述表中的,可以映射ntdll.dll到核心,分析PE文件,找到调用指令处...(2005-05-19 11:39)
-
bmyyyud:再顶一下,思路是从已知例程的具体实现与未引出的例程之间的关系 周末结贴,请大家不吝赐教(2005-05-19 11:07)
-
KMK: 再问问:KeAddSystemServiceTable 你是如何获取的? p = (unsigned char *)KeAddSystemServiceTable; :D :D(2005-05-18 00:09)
-
bmyyyud: [quote]再问问:KeAddSystemServiceTable 你是如何获取的? extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable; [/quote] 老大眼花了 是 KeAddSystemS...(2005-05-17 15:47)
-
KMK: 再问问:KeAddSystemServiceTable 你是如何获取的? extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;(2005-05-17 12:00)
-
wywwwl: 这个找KeServiceDescriptorTableShadow() DWORD findAddressofShadowTable(void) { int i; unsigned char *p; DWORD val; int result...(2005-05-17 10:25)
