[求助]读微软符号文件获取内核函数地址 64位系统遇到问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]读微软符号文件获取内核函数地址 64位系统遇到问题

发表于: 2015-10-28 01:03 8704

[求助]读微软符号文件获取内核函数地址 64位系统遇到问题

简单选择

2015-10-28 01:03

8704

原帖地址
http://bbs.pediy.com/showthread.php?t=140160

大概原理就是像winDBG一样。。从
srv* xxxx *bedK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2K6k6r3I4Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6V1L8%4N6F1L8r3!0S2k6q4)9J5c8Y4y4&6L8h3u0G2L8s2x3`.
下载符号表。，。。然后获取内核函数地址。。

我照抄了源码。。弄出个成品。。在XP系统和 Win7 32位下一切正常。。

但是在win7 64位下。好像有问题地址不正常，难道要别的计算？。。。。。因为是抄的源码，我也不知道原因哪位大神帮忙解答下

下面是效果图。。。

上面这个是XP系统的。。。一切正常函数名正确地址正确

win7 32位系统。。。依旧一切正常函数名正确地址正确

win7 64位系统。。。函数名正确。。地址却不正确。。。。地址是 16位的整数，，获取到的却是8位。。。还要经过什么计算么？

-

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

xp.png （95.52kb，247次下载）
w7x86.png （135.52kb，244次下载）
w7x64.png （138.41kb，253次下载）

收藏・1

免费・0

支持

最新回复 (7)
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 2 楼回调函数是这么写的 BOOLEAN CALLBACK EnumSymRoutine( PSYMBOL_INFO psi, ULONG SymSize, PVOID Context) { printf("name = %s address = %llx \n", psi->Name, psi->Address); return TRUE; } 2015-10-28 03:25 0
乙酸乙酯雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 51 粉丝 0 关注私信	乙酸乙酯 3 楼我记得从x64 SSDT中得到的也是32位的地址，是相对SSDT的地址，用表地址加上相对地址就得到函数地址。不知道符号表是怎么样的，试一试呗。 2015-10-28 11:21 0
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 4 楼好像不是。。。ssdt是表地址 + 偏移。。。。。所以表地址肯定一样。。。俩偏移相减等于俩真实函数地址的差。。。。我从符号表获取俩函数地址相减。。。得到的差和真实俩函数地址的差不等。 2015-10-28 15:35 0
TzdnerC 雪币： 61 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	TzdnerC 5 楼从那里抄的源码？能传一份吗？ 2015-10-30 15:03 0
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 6 楼可以啊 1 2015-10-31 02:31 0
bagel 雪币： 70 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	bagel 7 楼难道你抄来的代码没有计算公式？ ULONGLONG GetSSDT_ADDR(ULONGLONG __F_addr,UINT __Index) //函数功能：参数__F__addr为KeServiceDescriptorTable的基地址，参数__Index为要获取地址函数的索引，成功返回函数地址，失败返回0 { LONG dwTemp = 0; ULONGLONG qwTemp,stb,ret; stb = __F_addr; //以下通过传入的基地址计算函数的偏移，再计算出函数的真实地址。 qwTemp = stb + 4 __Index; dwTemp = (PLONG)qwTemp; dwTemp = dwTemp >> 4; ret = stb + (LONG64)dwTemp; return ret; } 2015-11-1 11:22 0
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 8 楼我已经解决了。。。64位系统编译成64位程序就行了。。代码不用改。。。不过您知道怎么用32位读取64位系统么 2015-11-13 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

简单选择

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 2 楼回调函数是这么写的 BOOLEAN CALLBACK EnumSymRoutine( PSYMBOL_INFO psi, ULONG SymSize, PVOID Context) { printf("name = %s address = %llx \n", psi->Name, psi->Address); return TRUE; } 2015-10-28 03:25 0
乙酸乙酯雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 51 粉丝 0 关注私信	乙酸乙酯 3 楼我记得从x64 SSDT中得到的也是32位的地址，是相对SSDT的地址，用表地址加上相对地址就得到函数地址。不知道符号表是怎么样的，试一试呗。 2015-10-28 11:21 0
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 4 楼好像不是。。。ssdt是表地址 + 偏移。。。。。所以表地址肯定一样。。。俩偏移相减等于俩真实函数地址的差。。。。我从符号表获取俩函数地址相减。。。得到的差和真实俩函数地址的差不等。 2015-10-28 15:35 0
TzdnerC 雪币： 61 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	TzdnerC 5 楼从那里抄的源码？能传一份吗？ 2015-10-30 15:03 0
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 6 楼可以啊 1 2015-10-31 02:31 0
bagel 雪币： 70 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 18 粉丝 0 关注私信	bagel 7 楼难道你抄来的代码没有计算公式？ ULONGLONG GetSSDT_ADDR(ULONGLONG __F_addr,UINT __Index) //函数功能：参数__F__addr为KeServiceDescriptorTable的基地址，参数__Index为要获取地址函数的索引，成功返回函数地址，失败返回0 { LONG dwTemp = 0; ULONGLONG qwTemp,stb,ret; stb = __F_addr; //以下通过传入的基地址计算函数的偏移，再计算出函数的真实地址。 qwTemp = stb + 4 __Index; dwTemp = (PLONG)qwTemp; dwTemp = dwTemp >> 4; ret = stb + (LONG64)dwTemp; return ret; } 2015-11-1 11:22 0
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 8 楼我已经解决了。。。64位系统编译成64位程序就行了。。代码不用改。。。不过您知道怎么用32位读取64位系统么 2015-11-13 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]读微软符号文件 获取内核函数地址 64位系统遇到问题

[求助]读微软符号文件获取内核函数地址 64位系统遇到问题