紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 931|回复: 35

[分享]使用符号获取结构体成员的偏移

  [复制链接]

824

主题

3388

帖子

2

精华

管理员

身居欧盟,心系中华。

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36201
发表于 2020-9-9 02:36:04 | 显示全部楼层 |阅读模式
刚看到一个热心会员的帖子:《所有64位系统的EPROCESS和ETHREAD结构》,由于WIN10更新太猛,直接把结构体成员偏移写死在代码里已经不可靠了,所以在可以联网的情况下,我建议使用符号获取结构体成员的偏移(其实现在最流行的ARK工具Windows Kernel Explorer就是这么做的,所以即使WIN10更新了,WKE不需要更新也可以在新系统上使用,而WIN64AST、PCHUNTER等传统ARK工具就不行)。以下是完整可编译的C代码,演示了获取fltmgr!_FLT_FILTER结构体里Operations成员的偏移:
游客,如果您要查看本帖隐藏内容请回复

1

主题

90

帖子

0

精华

贵宾会员

Rank: 2Rank: 2

积分
827
发表于 2020-9-9 08:24:37 | 显示全部楼层
感谢楼主。

2

主题

80

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
245
发表于 2020-9-9 18:26:33 | 显示全部楼层
其实微软的符号服务器被国内墙了.....现在下载符号还得挂梯子才行

824

主题

3388

帖子

2

精华

管理员

身居欧盟,心系中华。

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
36201
 楼主| 发表于 2020-9-10 06:14:27 | 显示全部楼层
lpmjknj 发表于 2020-9-9 18:26
其实微软的符号服务器被国内墙了.....现在下载符号还得挂梯子才行


不会吧,现在的墙已经这么厉害了?2017年那会访问符号服务器是没问题的。当然了,就目前来说,我现在对中国社会大环境的了解也就止步于2017年了……

0

主题

7

帖子

0

精华

初来乍到

Rank: 1

积分
17
发表于 2020-9-11 05:51:11 | 显示全部楼层
谢谢 这个对我太有用了

1

主题

20

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
69
发表于 2020-9-11 10:06:36 | 显示全部楼层
谢谢楼主

0

主题

25

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
59
发表于 2020-9-11 10:10:03 | 显示全部楼层
谢谢分享^_^

2

主题

14

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
56
发表于 2020-9-11 13:45:52 | 显示全部楼层
搭梯子才能用了。

2

主题

64

帖子

0

精华

贵宾会员

Rank: 2Rank: 2

积分
831
发表于 2020-9-11 22:26:15 | 显示全部楼层

看看,感谢楼主。

69

主题

238

帖子

8

精华

贵宾会员

Rank: 2Rank: 2

积分
13990
发表于 2020-9-12 07:33:00 | 显示全部楼层
我自己测试了一下,走上海电信,上海移动,不越过长城防火墙还是能下载到符号的,虽然慢了那么一点点。
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2021-1-17 16:34 , Processed in 0.040227 second(s), 20 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表