|
阅读:2515回复:2
驱动 有什么 函数和 ZwQueryVirtualMemory 同等 功能吗?如题 本人初学者 勿笑 呵呵。因为我想根据一个 内存地址得到 驱动模块的内存信息 在 ntdll!ZwQueryVirtualMemory 里面有ZwQueryVirtualMemory导出 但如果把ntdll编译在驱动中 驱动无法被加载 可能是因为ntdll是用户态的dll,通过windbg能看到nt(ntkrpamp.exe)!ZwQueryVirtualMemory,但nt(ntkrpamp.exe)!ZwQueryVirtualMemory未导出,通过KeServiceDescriptorTable的0xb2号服务能得到ZwQueryVirtualMemory函数的地址 但从兼容上来说我觉得不太好。望哪位高手相助 本人才接触dkk 很多地方不熟悉 |
|
|
沙发#
发布于:2009-11-18 07:49
自己进行window的软中断调用,
然后处理兼容性,这样的开发时间是最短的。 |
|
|
|
板凳#
发布于:2009-12-28 17:26
从ntdll里搜索服务号,再根据得到的服务号从KeServiceDescriptorTable里得到地址
|
|