|
阅读:1505回复:0
再放一个 xp sp3 的ntkrnlpa.exe 文件 用到的所有结构的头文件
每个结构都包含结构的大小, 结构的成员在结构中的偏移,已经成员的大小.
枚举类型的数值, 有一些结构还需要自己调整一下. 例如头文件中的 union _XP2600_2180_ULARGE_INTEGER /* sizeof 00000008 8 */ { // =============================== 0 /* off 0x0000 */ unsigned long LowPart; /* off 0x0004 */ unsigned long HighPart; /* off 0x0000 */ struct /* sizeof 00000008 8 */ { /* off 0x0000 */ unsigned long LowPart; /* off 0x0004 */ unsigned long HighPart; } u; /* off 0x0000 */ unsigned __int64 QuadPart; }; 就需要你自己调整一下 应该调整为 union _XP2600_2180_ULARGE_INTEGER /* sizeof 00000008 8 */ { // =============================== 0 union { //这一行是增加的 /* off 0x0000 */ unsigned long LowPart; /* off 0x0004 */ unsigned long HighPart; }; //这一行是增加的 /* off 0x0000 */ struct /* sizeof 00000008 8 */ { /* off 0x0000 */ unsigned long LowPart; /* off 0x0004 */ unsigned long HighPart; } u; /* off 0x0000 */ unsigned __int64 QuadPart; }; 如果在结构包含 // =============================== 的结构又可能需要自己调整一下 希望这个头文件对大家分析系统内核有帮助, |
|
|
