首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
经典问答
发新帖
0
0
请问系统调用号为0x35的ntdll函数是什么
发表于: 2011-7-31 20:29
4420
请问系统调用号为0x35的ntdll函数是什么
cuidaniu
2011-7-31 20:29
4420
请问系统调用号为0x35的ntdll函数是什么
此函数有以下调用方式
func(DWORD* d_loc4,1F03FF,DWORD* d_loc17(*d_loc17=0x18),-1,DWORD* d_loc6,DWORD* d_loc196(*d_loc196=0x10007),DWORD Address,0)有8个参数
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
GVU
雪 币:
377
活跃值:
(25)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
30
粉丝
0
关注
私信
GVU
2
楼
自己看看ntdll的导出函数,我现在用Linux,看导出函数的地址应该能找到把。
2011-7-31 22:30
0
dccrazyboy
雪 币:
45
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
3
粉丝
0
关注
私信
dccrazyboy
3
楼
我这用windbg显示的事DbgPrompt
不过看msdn
2c8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3&6Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6W2L8W2)9J5k6s2g2K6i4K6u0r3L8r3W2T1M7X3q4J5P5g2)9J5c8X3k6X3y4e0b7K6y4U0x3#2i4K6t1^5N6W2)9K6c8s2k6K6i4K6u0W2z5o6g2Q4x3U0W2Q4x3X3g2S2M7%4m8^5
只有3个参数啊。。
2011-8-1 10:51
0
cuidaniu
雪 币:
147
活跃值:
(13)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
39
粉丝
0
关注
私信
cuidaniu
4
楼
关键这个函数中用系统调用号0x35给eax,然后KiFastSystemCall进入内核调用相应的系统函数,这个调用KiFastSystemCall的函数是一个从ntdll导出函数中拷贝到分配的内存空间的一个重复代码指令的拷贝函数,也就是这个拷贝到分配内存的函数是个跟ntdll导出函数一样的函数,由于调用这个拷贝函数是用函数绝对内存地址调用,所以这个函数的名称OllyDBG识别不出来
2011-8-1 20:43
0
私仇之路
雪 币:
73
活跃值:
(16)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
346
粉丝
0
关注
私信
私仇之路
5
楼
好像是NtCreateThread。
2011-8-3 17:18
0
cuidaniu
雪 币:
147
活跃值:
(13)
能力值:
( LV2,RANK:10 )
在线值:
发帖
8
回帖
39
粉丝
0
关注
私信
cuidaniu
6
楼
谢谢私仇之路大哥了,好像是对的,8个参数
2011-8-4 14:36
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
cuidaniu
8
发帖
39
回帖
10
RANK
关注
私信
他的文章
有高手吗reactos的代码好像有错误,看我代码中的中文注释
5321
pe头(IMAGE_NT_HEADER32)的RVA都是一样的吗
3980
MmCreateVirtualMappingUnsafe这个内核函数有bug(见我的注释)
3551
有高手懂MiFlushTlb这个冲刷块表tlb中页表项的函数实现
5901
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部
