紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 14090|回复: 67

[分享]使用符号获取结构体成员的偏移

  [复制链接]

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
发表于 2020-9-9 02:36:04 | 显示全部楼层 |阅读模式
刚看到一个热心会员的帖子:《所有64位系统的EPROCESS和ETHREAD结构》,由于WIN10更新太猛,直接把结构体成员偏移写死在代码里已经不可靠了,所以在可以联网的情况下,我建议使用符号获取结构体成员的偏移(其实现在最流行的ARK工具Windows Kernel Explorer就是这么做的,所以即使WIN10更新了,WKE不需要更新也可以在新系统上使用,而WIN64AST、PCHUNTER等传统ARK工具就不行)。以下是完整可编译的C代码,演示了获取fltmgr!_FLT_FILTER结构体里Operations成员的偏移:
游客,如果您要查看本帖隐藏内容请回复

1

主题

117

帖子

0

精华

金牌会员

Rank: 4Rank: 4Rank: 4Rank: 4

积分
854
发表于 2020-9-9 08:24:37 | 显示全部楼层
感谢楼主。

3

主题

116

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
282
发表于 2020-9-9 18:26:33 | 显示全部楼层
其实微软的符号服务器被国内墙了.....现在下载符号还得挂梯子才行

851

主题

3477

帖子

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

Rank: 125Rank: 125Rank: 125Rank: 125Rank: 125

积分
37093
 楼主| 发表于 2020-9-10 06:14:27 | 显示全部楼层
lpmjknj 发表于 2020-9-9 18:26
其实微软的符号服务器被国内墙了.....现在下载符号还得挂梯子才行


不会吧,现在的墙已经这么厉害了?2017年那会访问符号服务器是没问题的。当然了,就目前来说,我现在对中国社会大环境的了解也就止步于2017年了……

0

主题

10

帖子

0

精华

初来乍到

Rank: 1

积分
20
发表于 2020-9-11 05:51:11 | 显示全部楼层
谢谢 这个对我太有用了

5

主题

50

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
105
发表于 2020-9-11 10:06:36 | 显示全部楼层
谢谢楼主

0

主题

25

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
59
发表于 2020-9-11 10:10:03 | 显示全部楼层
谢谢分享^_^

2

主题

14

帖子

0

精华

铜牌会员

Rank: 2Rank: 2

积分
60
发表于 2020-9-11 13:45:52 | 显示全部楼层
搭梯子才能用了。

2

主题

64

帖子

0

精华

金牌会员

Rank: 4Rank: 4Rank: 4Rank: 4

积分
831
发表于 2020-9-11 22:26:15 | 显示全部楼层

看看,感谢楼主。

76

主题

267

帖子

9

精华

贵宾会员

Rank: 2Rank: 2

积分
15599
发表于 2020-9-12 07:33:00 | 显示全部楼层
我自己测试了一下,走上海电信,上海移动,不越过长城防火墙还是能下载到符号的,虽然慢了那么一点点。
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

手机版|Archiver|紫水晶工作室 ( 粤ICP备05020336号 )

GMT+8, 2024-3-29 12:55 , Processed in 0.027831 second(s), 19 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表