|
阅读:1210回复:8
问个很简单的问题
HOOK SYSTEM SERVICES是如何与用户态通信的?
比如说Undocumented Windows NT里的那个例子. 是不是只能在SoftICE 中或调试消息捕获工具中看到? 如何看到呢? THX~~~~~~~ |
|
|
沙发#
发布于:2005-06-06 09:15
一般是IRP_MJ_DEVICE_CONTROL,但还有其它如Event等
|
|
|
|
板凳#
发布于:2005-06-06 09:27
但是为什么例子里没有IRP_MJ_XXXX的定义呢?
还有就是.用softice如何看到HOOK是实现了的? |
|
|
地板#
发布于:2005-06-06 10:35
但是为什么例子里没有IRP_MJ_XXXX的定义呢? 看系统服务分发表中的系统服务地址指向那个SYS文件 |
|
|
|
地下室#
发布于:2005-06-06 10:44
我只知道服务表是用ntcall来看地址.
如何看它指向哪个SYS? 初学驱动..什么都不懂.. :( |
|
|
5楼#
发布于:2005-06-07 16:15
我只知道服务表是用ntcall来看地址. KeServiceDescriptorTable指向服务表结构,第一个DD指向具体函数地址,然后QUERY这个地址 |
|
|
|
6楼#
发布于:2005-06-07 17:22
gz
|
|
|
|
7楼#
发布于:2005-06-08 09:40
[quote]我只知道服务表是用ntcall来看地址. KeServiceDescriptorTable指向服务表结构,第一个DD指向具体函数地址,然后QUERY这个地址 [/quote] 略有笔误 KeServiceDescriptorTable指向服务表结构,第一个DD指向具体函数地址表,然后QUERY这些地址 |
|
|
|
8楼#
发布于:2005-06-08 10:01
bmyyyud 好负责任呀.... ;)
|
|