[分享]使用符号获取结构体成员的偏移

Tesla.Angela · 发表于 2020-9-9 02:36:04

刚看到一个热心会员的帖子：《所有64位系统的EPROCESS和ETHREAD结构》，由于WIN10更新太猛，直接把结构体成员偏移写死在代码里已经不可靠了，所以在可以联网的情况下，我建议使用符号获取结构体成员的偏移（其实现在最流行的ARK工具Windows Kernel Explorer就是这么做的，所以即使WIN10更新了，WKE不需要更新也可以在新系统上使用，而WIN64AST、PCHUNTER等传统ARK工具就不行）。以下是完整可编译的C代码，演示了获取fltmgr!_FLT_FILTER结构体里Operations成员的偏移：

游客，如果您要查看本帖隐藏内容请回复

yimingqpa · 发表于 2020-9-9 08:24:37

感谢楼主。

lpmjknj · 发表于 2020-9-9 18:26:33

其实微软的符号服务器被国内墙了.....现在下载符号还得挂梯子才行

Tesla.Angela · 发表于 2020-9-10 06:14:27

lpmjknj 发表于 2020-9-9 18:26
其实微软的符号服务器被国内墙了.....现在下载符号还得挂梯子才行

不会吧，现在的墙已经这么厉害了？2017年那会访问符号服务器是没问题的。当然了，就目前来说，我现在对中国社会大环境的了解也就止步于2017年了……

Jck1970 · 发表于 2020-9-11 05:51:11

谢谢这个对我太有用了

blackbox · 发表于 2020-9-11 10:06:36

谢谢楼主

qq295593362 · 发表于 2020-9-11 10:10:03

谢谢分享^_^

kinglshadow · 发表于 2020-9-11 13:45:52

搭梯子才能用了。

黄枫叶 · 发表于 2020-9-11 22:26:15

看看，感谢楼主。

tangptr@126.com · 发表于 2020-9-12 07:33:00

我自己测试了一下，走上海电信，上海移动，不越过长城防火墙还是能下载到符号的，虽然慢了那么一点点。

kimjongun · 发表于 2020-9-13 06:12:24

好好学习，天天向上。尴尬，现在符号服务器都要用科学爱国。。日子过得真不容易啊。。。

kanren · 发表于 2020-9-13 14:27:57

挺有意思的啊

consciousness · 发表于 2020-9-13 19:05:07

感谢大佬分享

eroy · 发表于 2020-9-15 09:18:07

学习下学习下

Sumail1999 · 发表于 2020-9-17 11:46:44

查看数据！

antiwar3 · 发表于 2020-9-25 14:51:23

谢谢，前端时间正好写了个····

ayamat · 发表于 2020-9-29 09:49:13

反正msvs是下不到的，看看楼主大大的行不行

ntddk · 发表于 2020-10-8 18:10:31

符号服务器被墙得厉害，学习下思路

影月邪歌 · 发表于 2020-10-12 16:46:07

感谢T.A. 微软的PDB没有被墙，只不过不挂梯子很慢

qq892640791 · 发表于 2020-10-13 06:24:42

国内连不上符号服务器的时候只能用离线符号吗，那么多版本想想就头疼

zt8152070 · 发表于 2020-10-15 16:30:35

学习一下，谢谢分享

一直小菜鸡 · 发表于 2020-10-16 18:43:32

学习一下

Kshom · 发表于 2020-10-28 10:48:32

感谢分享

yxxxxxxx · 发表于 2020-10-29 08:53:46

谢谢楼主

bghta · 发表于 2020-11-8 09:15:12

感谢楼主。

HookSuccess · 发表于 2020-11-13 11:24:12

谢谢楼主

xiaozuzhi · 发表于 2020-11-13 15:11:44

感谢楼主。

蜜蜂 · 发表于 2020-12-17 19:15:14

微软的符号服务器被墙的厉害。大陆几乎被墙了

QinBeast · 发表于 2020-12-22 11:39:00

现在下个符合都需要翻墙.太不友好了.

a1678131758 · 发表于 2020-12-26 10:50:38

牛逼

heiqishi814 · 发表于 2021-1-2 11:14:06

学习了

stylezhou · 发表于 2021-1-4 11:39:02

好东西

账号		自动登录	找回密码
密码			加入我们