设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 趁着TA在,我想问个困扰了我很长时间的问题 ...
返回列表 发新帖
查看: 4615|回复: 6

趁着TA在,我想问个困扰了我很长时间的问题

 火.. [复制链接]
ok100fen

90

主题

473

回帖

2

精华

钻石会员

积分
3261
发表于 2010-8-27 23:51:58 | 显示全部楼层 |阅读模式
就是当一个内核函数被hook后,
如何得到它的起源地址?
如图,怎么能得到NtTerminateProcess的起源地址?
麻烦TA写个代码,谢谢啦
未命名5.jpg
回复

举报

ok100fen

90

主题

473

回帖

2

精华

钻石会员

积分
3261
 楼主| 发表于 2010-8-28 08:43:32 | 显示全部楼层
TA走了?
回复

举报

xiaoly99

6

主题

196

回帖

0

精华

铜牌会员

菜鸟

积分
52
发表于 2010-8-28 12:56:11 | 显示全部楼层
1.内核函数应该是被Inline Hook吧......这叫SSDT......
2."起源函数",应该是原始地址.
3.读PE文件.
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2010-8-28 13:23:30 | 显示全部楼层
电脑坏了,写不了代码。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

ok100fen

90

主题

473

回帖

2

精华

钻石会员

积分
3261
 楼主| 发表于 2010-8-28 13:55:07 | 显示全部楼层
等待你的电脑


一定要帮我啊
回复

举报

xiaoly99

6

主题

196

回帖

0

精华

铜牌会员

菜鸟

积分
52
发表于 2010-8-28 15:14:12 | 显示全部楼层
1.有没有听我说话?
2.读PE文件.
3.是Ring3还是Ring0?
4.只要你回答了3,我就可以立刻给你写一个实例出来.
5.你早点问我就早点回答.
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2010-8-28 17:06:58 | 显示全部楼层
驱动版本的在这里:
http://www.m5home.com/bbs/viewthread.php?tid=3757
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表