Tesla.Angela
发表于 2020-9-9 02:36:04
[分享]使用符号获取结构体成员的偏移
刚看到一个热心会员的帖子:《所有64位系统的EPROCESS和ETHREAD结构》,由于WIN10更新太猛,直接把结构体成员偏移写死在代码里已经不可靠了,所以在可以联网的情况下,我建议使用符号获取结构体成员的偏移(其实现在最流行的ARK工具Windows Kernel Explorer就是这么做的,所以即使WIN10更新了,WKE不需要更新也可以在新系统上使用,而WIN64AST、PCHUNTER等传统ARK工具就不行)。以下是完整可编译的C代码,演示了获取fltmgr!_FLT_FILTER结构体里Operations成员的偏移:
**** Hidden Message *****
yimingqpa
发表于 2020-9-9 08:24:37
感谢楼主。
lpmjknj
发表于 2020-9-9 18:26:33
其实微软的符号服务器被国内墙了.....现在下载符号还得挂梯子才行
Tesla.Angela
发表于 2020-9-10 06:14:27
lpmjknj 发表于 2020-9-9 18:26
其实微软的符号服务器被国内墙了.....现在下载符号还得挂梯子才行
不会吧,现在的墙已经这么厉害了?2017年那会访问符号服务器是没问题的。当然了,就目前来说,我现在对中国社会大环境的了解也就止步于2017年了……
Jck1970
发表于 2020-9-11 05:51:11
谢谢 这个对我太有用了
blackbox
发表于 2020-9-11 10:06:36
谢谢楼主
qq295593362
发表于 2020-9-11 10:10:03
谢谢分享^_^
kinglshadow
发表于 2020-9-11 13:45:52
搭梯子才能用了。
黄枫叶
发表于 2020-9-11 22:26:15
看看,感谢楼主。
tangptr@126.com
发表于 2020-9-12 07:33:00
我自己测试了一下,走上海电信,上海移动,不越过长城防火墙还是能下载到符号的,虽然慢了那么一点点。
kimjongun
发表于 2020-9-13 06:12:24
好好学习,天天向上。尴尬,现在符号服务器都要用科学爱国。。日子过得真不容易啊。。。
kanren
发表于 2020-9-13 14:27:57
挺有意思的啊
consciousness
发表于 2020-9-13 19:05:07
感谢大佬分享
eroy
发表于 2020-9-15 09:18:07
学习下学习下
Sumail1999
发表于 2020-9-17 11:46:44
查看数据!
antiwar3
发表于 2020-9-25 14:51:23
谢谢,前端时间正好写了个····
ayamat
发表于 2020-9-29 09:49:13
反正msvs是下不到的,看看楼主大大的行不行
ntddk
发表于 2020-10-8 18:10:31
符号服务器被墙得厉害,学习下思路
影月邪歌
发表于 2020-10-12 16:46:07
感谢T.A. 微软的PDB没有被墙,只不过不挂梯子很慢
qq892640791
发表于 2020-10-13 06:24:42
国内连不上符号服务器的时候只能用离线符号吗,那么多版本想想就头疼
zt8152070
发表于 2020-10-15 16:30:35
学习一下,谢谢分享
一直小菜鸡
发表于 2020-10-16 18:43:32
学习一下
Kshom
发表于 2020-10-28 10:48:32
感谢分享
yxxxxxxx
发表于 2020-10-29 08:53:46
谢谢楼主
bghta
发表于 2020-11-8 09:15:12
感谢楼主。
HookSuccess
发表于 2020-11-13 11:24:12
谢谢楼主
xiaozuzhi
发表于 2020-11-13 15:11:44
感谢楼主。
蜜蜂
发表于 2020-12-17 19:15:14
微软的符号服务器被墙的厉害。大陆几乎被墙了
QinBeast
发表于 2020-12-22 11:39:00
现在下个符合都需要翻墙.太不友好了.
a1678131758
发表于 2020-12-26 10:50:38
牛逼
heiqishi814
发表于 2021-1-2 11:14:06
学习了
stylezhou
发表于 2021-1-4 11:39:02
好东西