Tesla.Angela
发表于 2013-4-4 21:01:25
[原创]说一下如何在驱动里调用未导出的Zw***函数
有人问我如何在驱动里调用未导出的Zw***函数,我觉得这个问题是很多人经常纳闷的,故把当时的回答整理一下发出来。
我说的话没经过测试,但应该是可行的。麻烦有哪位朋友看了本文后帮我测试一下(WIN32同理)。
**** Hidden Message *****
mysmartid
发表于 2013-4-5 05:43:49
感谢分享~~回复看内容~
lpmjknj
发表于 2013-4-5 15:57:23
学习....不会是call吧
lpmjknj
发表于 2013-4-5 15:59:04
还真是..
Murray
发表于 2013-4-5 19:19:50
看看楼主是用什么方法做的
kk1025
发表于 2013-4-6 11:40:40
仔細研究一下
h604640377
发表于 2013-4-11 08:55:15
看一看~~~
SwordMicro
发表于 2013-6-11 10:17:51
{:soso_e176:}看看是神马东西
huzhao23
发表于 2013-7-2 15:53:51
学习了,谢谢楼主分享
stanfordzhang
发表于 2013-9-23 10:28:36
直接从SSDT里导或从符号服务器解析?
Tesla.Angela
发表于 2013-9-27 22:34:51
rqqeq 发表于 2013-9-27 18:21 static/image/common/back.gif
貌似某大牛说过直接根据导出的zw系的函数地址和引索号……就可以推出任意知道引索号的地址…… ...
WIN32可以,WIN64不行。
因为WIN32下Zw函数的地址是按照序号排列的,但WIN64下Zw函数的地址是随机的。
举个例子:
假设ZwOpenProcess的地址是0x87654321,序号为50,每个Zw函数的长度为30。
另设ZwOpenThread的序号是60,那么ZwOpenThread的地址可以推断为:0x87654321+(60-50)*30。
bboyiori
发表于 2013-11-5 14:15:44
64位再使用这些是不是需要自己去算了
watchsky
发表于 2013-11-6 11:43:20
看一下~
rumblemomo
发表于 2013-12-11 01:27:58
感谢分享~~
lanjingling888
发表于 2013-12-13 04:44:09
看看是不是栈回诉
oopww
发表于 2013-12-15 16:38:39
test~~~
cxjnet
发表于 2014-1-1 01:07:34
回复看内容~
thegfw
发表于 2014-1-17 18:41:55
仔細研究一下
Zerone
发表于 2014-1-20 22:07:03
谢谢分享
Zerone
发表于 2014-1-20 22:07:05
谢谢分享
rice19
发表于 2014-2-19 21:56:35
LZ加油~!!
silence_liu
发表于 2014-3-19 15:37:04
回复看看
jzy1115
发表于 2014-3-29 15:27:57
看看了。。。。。
860000023
发表于 2014-4-18 00:57:24
谢谢大大分享,正好现在在拿xtrap练手,想HOOK些函数.
860000023
发表于 2014-4-18 00:57:28
谢谢大大分享,正好现在在拿xtrap练手,想HOOK些函数.
yhcyhy2010
发表于 2014-8-6 06:33:47
感谢分享~~回复看内容~
mlyknown
发表于 2014-8-7 20:44:30
正需要。
zfdyq
发表于 2014-11-25 17:29:25
学习看看~~~
136699457
发表于 2014-12-5 17:07:48
、????????
qq569582281
发表于 2014-12-7 19:40:10
学习了,支持M5HOME
huangchao209
发表于 2014-12-16 07:52:19
看看是神
kk龙
发表于 2014-12-30 15:12:32
很强大很好