win10对象线程回调的结构体跟win7的好像不一样?
我根据windbg得到CallbackList的偏移为0xc8然后根据教程得到一组对象进线程回调
进程回调看起来似乎没错,但线程回调总感觉不对,回调地址有546A6开头的这种么?
我自己试着在对象回调结构体后面加了几个ULONG64:
发现后面好像有几个地址挺像的。怎么判断这地址是否是pre或者post地址?
同样的代码在win7上跑结果挺正常的,我觉得好像win10的对象线程回调的结构体变了?
教程写这个结构体是逆向得来的,那么如果这个结构体变了,我要如何逆向得到,有没有大体的思路?
望各位大佬不吝赐教,小弟在此谢过了。
先自己注册一个,print你的pre-call和post-call,然后再去看结构体。直接用windbg的dps指令,只要你的驱动的符号文件放进调试器里就一目了然了。
页:
[1]