[求助]求助关于ntdll的导出函数地址-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
wang王雪币： 4949 活跃值： (1974) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 2 楼用IRP从应用层获取在通知驱动 2015-8-14 17:21 0
天天起早雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	天天起早 3 楼谢谢楼上,是我异想天开了,我之前以为ntdll是内核模块,想在驱动层挂钩里面的一些函数, 后来才知道是应用层模块, 看来我的目的是不可能达成了 2015-8-14 18:11 0
空空飞飞雪币： 2841 活跃值： (1130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 4 关注私信	空空飞飞 4 楼 PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("ntdll"), "LdrLoadDll"); 这样就能得到导出函数的地址 2015-8-14 18:15 0
天天起早雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	天天起早 5 楼不错,是我之前思考的方向错误了,我本想在驱动层挂钩这里面的函数,没想到这里面的函数是应用层函数,好伤啊 2015-8-14 18:39 0
空空飞飞雪币： 2841 活跃值： (1130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 4 关注私信	空空飞飞 6 楼驱动层也可以得到啊，但就是比较麻烦 2015-8-20 15:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
wang王雪币： 4949 活跃值： (1974) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 255 粉丝 0 关注私信	wang王 2 楼用IRP从应用层获取在通知驱动 2015-8-14 17:21 0
天天起早雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	天天起早 3 楼谢谢楼上,是我异想天开了,我之前以为ntdll是内核模块,想在驱动层挂钩里面的一些函数, 后来才知道是应用层模块, 看来我的目的是不可能达成了 2015-8-14 18:11 0
空空飞飞雪币： 2841 活跃值： (1130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 4 关注私信	空空飞飞 4 楼 PTHREAD_START_ROUTINE pfnStartAddr = (PTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandle("ntdll"), "LdrLoadDll"); 这样就能得到导出函数的地址 2015-8-14 18:15 0
天天起早雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	天天起早 5 楼不错,是我之前思考的方向错误了,我本想在驱动层挂钩这里面的函数,没想到这里面的函数是应用层函数,好伤啊 2015-8-14 18:39 0
空空飞飞雪币： 2841 活跃值： (1130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 111 粉丝 4 关注私信	空空飞飞 6 楼驱动层也可以得到啊，但就是比较麻烦 2015-8-20 15:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复