-
我在内核态想启动一个Win32进程,然后吊用了NtCreateSection,和NtCreateProcess。当加载驱动时候,提示“找不到过程地址”。我把NtCreateProcess注释了,就能加载了。NtCreateSection 和 NtCreateProcess 都是 ...全文
◆
◆
-
bmyyyud:[quote]这个函数地址需要动态获取,你反编译一下NtOsKrnl.exe就明白了。 等于没说,你反哪个函数可以获得他的地址?? HOOK只能通过SERVICEID来做,硬编码或着我看到有老外把NTDLL影射到驱动空间,然后再获得SERVICEID的. [/quote] ...(2005-02-07 09:39)
-
bmyyyud:驱动里边连接ntdll?NtCreateProcess/ZwCreateProcess都没有在ntdll.dll中被export!不要白费力气了。如果需要的话,你可以自己加载ntdll到内存中,然后再查找地址。 函数没有输出,就是自己加载到内存中,也找不到地址,其实ntdll...(2005-02-07 09:35)
-
iamwuge:驱动里边连接ntdll?NtCreateProcess/ZwCreateProcess都没有在ntdll.dll中被export!不要白费力气了。如果需要的话,你可以自己加载ntdll到内存中,然后再查找地址。(2005-02-06 13:55)
-
bmyyyud:还有,据我跟踪发现,在XP中系统很少调用ntcreateprocess,改为调用 ntcreateprocessEx,如果在XP下将0xffffffff改为0x00000000(NULL),将不出现第4个参数出错的情况,但出现1>Linking Executable - ...(2005-02-05 11:02)
-
bmyyyud:还有,据我跟踪发现,在XP中系统很少调用ntcreateprocess,改为调用 ntcreateprocessEx,如果在XP下将0xffffffff改为0x00000000(NULL),将不出现第4个参数出错的情况,但出现1>Linking Executable - ...(2005-02-05 10:54)
-
bmyyyud:首先,我必须澄清的一点是,你的LIB绝对不能是ntdll.lib,而必须是ntoskrnl.lib。ntdll.lib中引出了ntcreateprocess(暂时不管大小写了),ntoskrnl.lib引出了ntcreateprocess,ntcreatesession.ntdl...(2005-02-05 10:40)
-
wowocock:这个函数地址需要动态获取,你反编译一下NtOsKrnl.exe就明白了。 等于没说,你反哪个函数可以获得他的地址?? HOOK只能通过SERVICEID来做,硬编码或着我看到有老外把NTDLL影射到驱动空间,然后再获得SERVICEID的.(2005-02-04 14:07)
-
paladinii:这个函数地址需要动态获取,你反编译一下NtOsKrnl.exe就明白了。(2005-02-04 14:02)
-
yyy_qazwsxedc: 驱动中好像不能引用ntdll.dll中的函数,没看到有sys引用了ntdll.dll 因为NtCreateSection在ntoskrnl.exe中,而NtCreateProcess在 ntoskrnl.exe中没有导出所以不行。 关于怎么使用NtCreateProce...(2004-12-29 10:12)
-
Yanky:顶! 顶! 顶!(2004-12-27 17:42)
