[原创]说一下如何在驱动里调用未导出的Zw***函数

Tesla.Angela · 发表于 2013-4-4 21:01:25

有人问我如何在驱动里调用未导出的Zw***函数，我觉得这个问题是很多人经常纳闷的，故把当时的回答整理一下发出来。
我说的话没经过测试，但应该是可行的。麻烦有哪位朋友看了本文后帮我测试一下（WIN32同理）。

游客，如果您要查看本帖隐藏内容请回复

mysmartid · 发表于 2013-4-5 05:43:49

感谢分享~~回复看内容~

lpmjknj · 发表于 2013-4-5 15:57:23

学习....不会是call吧

lpmjknj · 发表于 2013-4-5 15:59:04

还真是..

Murray · 发表于 2013-4-5 19:19:50

看看楼主是用什么方法做的

kk1025 · 发表于 2013-4-6 11:40:40

仔細研究一下

h604640377 · 发表于 2013-4-11 08:55:15

看一看~~~

SwordMicro · 发表于 2013-6-11 10:17:51

{:soso_e176:}看看是神马东西

huzhao23 · 发表于 2013-7-2 15:53:51

学习了，谢谢楼主分享

stanfordzhang · 发表于 2013-9-23 10:28:36

直接从SSDT里导或从符号服务器解析？

Tesla.Angela · 发表于 2013-9-27 22:34:51

rqqeq 发表于 2013-9-27 18:21
貌似某大牛说过直接根据导出的zw系的函数地址和引索号……就可以推出任意知道引索号的地址…… ...

WIN32可以，WIN64不行。
因为WIN32下Zw函数的地址是按照序号排列的，但WIN64下Zw函数的地址是随机的。

举个例子：
假设ZwOpenProcess的地址是0x87654321，序号为50，每个Zw函数的长度为30。
另设ZwOpenThread的序号是60，那么ZwOpenThread的地址可以推断为：0x87654321+(60-50)*30。

bboyiori · 发表于 2013-11-5 14:15:44

64位再使用这些是不是需要自己去算了

watchsky · 发表于 2013-11-6 11:43:20

看一下～

rumblemomo · 发表于 2013-12-11 01:27:58

感谢分享~~

lanjingling888 · 发表于 2013-12-13 04:44:09

看看是不是栈回诉

oopww · 发表于 2013-12-15 16:38:39

test~~~

cxjnet · 发表于 2014-1-1 01:07:34

回复看内容~

thegfw · 发表于 2014-1-17 18:41:55

仔細研究一下

Zerone · 发表于 2014-1-20 22:07:03

谢谢分享

Zerone · 发表于 2014-1-20 22:07:05

谢谢分享

rice19 · 发表于 2014-2-19 21:56:35

LZ加油~！！

silence_liu · 发表于 2014-3-19 15:37:04

回复看看

jzy1115 · 发表于 2014-3-29 15:27:57

看看了。。。。。

860000023 · 发表于 2014-4-18 00:57:24

谢谢大大分享,正好现在在拿xtrap练手,想HOOK些函数.

860000023 · 发表于 2014-4-18 00:57:28

谢谢大大分享,正好现在在拿xtrap练手,想HOOK些函数.

yhcyhy2010 · 发表于 2014-8-6 06:33:47

感谢分享~~回复看内容~

mlyknown · 发表于 2014-8-7 20:44:30

正需要。

zfdyq · 发表于 2014-11-25 17:29:25

学习看看~~~

136699457 · 发表于 2014-12-5 17:07:48

、？？？？？？？？

qq569582281 · 发表于 2014-12-7 19:40:10

学习了，支持M5HOME

huangchao209 · 发表于 2014-12-16 07:52:19

看看是神

kk龙 · 发表于 2014-12-30 15:12:32

很强大很好

账号		自动登录	找回密码
密码			加入我们