求助,关于64位换算地址

ykl44222440

1: kd> uf NtCreateDebugObject
nt!NtCreateDebugObject:
fffff800`042697a0 48895c2408      mov     qword ptr [rsp+8],rbx
''''省略''''
fffff800`04269813 488364242000    and     qword ptr [rsp+20h],0
fffff800`04269819 458aca          mov     r9b,r10b
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''计算DbgkDebugObjectType'
fffff800`0426981c 488b158dd3daff  mov     rdx,qword ptr [nt!DbgkDebugObjectType (fffff800`04016bb0)]

我用   fffff800`0426981c  + 7 + ffdad38d  = FFFFF80104016BB0

与正确的地址出入 100000000

求助过路的师兄

tangptr@126.com

(fffff800`0426981c  + 7 + ffdad38d) & 0xFFFFFFFEFFFFFFFF
把第33位的1消掉就可以了

ykl44222440

tangptr@126.com 发表于 2016-6-18 12:49
(fffff800`0426981c  + 7 + ffdad38d) & 0xFFFFFFFEFFFFFFFF
把第33位的1消掉就可以了

多谢多谢.

Tesla.Angela

这种帖子直接发到技术区即可。

---

printf("%p\n",0xfffff8000426981c  + 0x7 + (long)0xffdad38d);
答案就是0xFFFFF80004016BB0。

落笔飞花

与FFFFFFF0FFFFFFFF就可以了

ykl44222440

Tesla.Angela 发表于 2016-6-19 16:26
这种帖子直接发到技术区即可。

---

printf("%p\n",0xfffff8000426981c  + 0x7 + (long)0xffdad38d);
答案就 ...

多谢帅哥