ok100fen 发表于 2010-8-27 23:51:58

趁着TA在,我想问个困扰了我很长时间的问题

就是当一个内核函数被hook后,
如何得到它的起源地址?
如图,怎么能得到NtTerminateProcess的起源地址?
麻烦TA写个代码,谢谢啦

ok100fen 发表于 2010-8-28 08:43:32

TA走了?

xiaoly99 发表于 2010-8-28 12:56:11

1.内核函数应该是被Inline Hook吧......这叫SSDT......
2."起源函数",应该是原始地址.
3.读PE文件.

Tesla.Angela 发表于 2010-8-28 13:23:30

电脑坏了,写不了代码。

ok100fen 发表于 2010-8-28 13:55:07

等待你的电脑


一定要帮我啊

xiaoly99 发表于 2010-8-28 15:14:12

1.有没有听我说话?
2.读PE文件.
3.是Ring3还是Ring0?
4.只要你回答了3,我就可以立刻给你写一个实例出来.
5.你早点问我就早点回答.

Tesla.Angela 发表于 2010-8-28 17:06:58

驱动版本的在这里:
http://www.m5home.com/bbs/viewthread.php?tid=3757
页: [1]
查看完整版本: 趁着TA在,我想问个困扰了我很长时间的问题