win10对象线程回调的结构体跟win7的好像不一样？

cloud1983 · 发表于 2019-2-21 23:13:48

我根据windbg得到CallbackList的偏移为0xc8

CallbackList偏移

然后根据教程得到一组对象进线程回调
1CR[J]VVIC.png

进程回调看起来似乎没错，但线程回调总感觉不对，回调地址有546A6开头的这种么？
我自己试着在对象回调结构体后面加了几个ULONG64：
$HDV{W}T{7MS.png

发现后面好像有几个地址挺像的。怎么判断这地址是否是pre或者post地址？

同样的代码在win7上跑结果挺正常的，我觉得好像win10的对象线程回调的结构体变了？
教程写这个结构体是逆向得来的，那么如果这个结构体变了，我要如何逆向得到，有没有大体的思路？

望各位大佬不吝赐教，小弟在此谢过了。

tangptr@126.com · 发表于 2019-2-22 17:44:08

先自己注册一个，print你的pre-call和post-call，然后再去看结构体。直接用windbg的dps指令，只要你的驱动的符号文件放进调试器里就一目了然了。

账号		自动登录	找回密码
密码			加入我们