首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
函数地址与SSDT索引的关系,以nt!NtFlushKey为例
发表于: 2017-4-2 16:26 2970

函数地址与SSDT索引的关系,以nt!NtFlushKey为例

UnMovedMov 活跃值
2017-4-2 16:26
2970

1 kd> dps 83e9443c L192
  83e9443c  8408ffbf nt!NtAcceptConnectPort
  83e94634  83ff5b06 nt!NtFlushKey
  (83ff5b06-8408ffbf)/4 = 0x7E


2 pNtFlushKeyFuncAddr = 0xa6444dc8
  kd> u 0xa6444dc8
  a6444dc8 b87e000000      mov     eax, 7Eh
  a6444dcd ba0003fe7f      mov     edx, offset SharedUserData!SystemCallStub(7ffe0300)
  a6444dd2 ff12            call    dword ptr[edx]


3 (PUCHAR)pNtFlushKeyFuncAddr++;

kd> dd a6444dc9
a6444dc9  0000007e fe0300ba c212ff7f b8900004


[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (3)
hzqst
雪    币: 12876
活跃值: (9352)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
2

两函数地址相减利用已知函数offset算未知index的方法不可靠
因为在某些系统上两个函数之间的offset未必全部是某个值

2017-4-2 17:33
0
OnlyForU
雪    币: 346
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
3
1楼能够解答具体点吗?  多谢。
2017-4-2 22:34
0
altmanx
雪    币: 145
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
4
hzqst 两函数地址相减利用已知函数offset算未知index的方法不可靠因为在某些系统上两个函数之间的offset未必全部是某个值
主要是对齐问题导致的  .          计算出来之后,  要自己验证&微调一下
2017-4-3 08:56
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回