[求助]ZwQuerySystemInformation的参数问题！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
gzgzlxg 雪币： 238 活跃值： (326) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 346 粉丝 8 关注私信	gzgzlxg 11 2 楼看看我以前回答的问题，参考一下： http://bbs.pediy.com/showthread.php?t=51369 2008-6-13 07:32 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 3 楼刚好在分析一程序。笔记中有这部分的内容，帖出来供LZ参考： ZwQuerySystemInformation 调用11号获得系统模块信息.从中找到指定的内核模块; WRK中无相关定义,windbg也弄不出来,不过ReactOS里面有: typedef struct _RTL_PROCESS_MODULES { ULONG NumberOfModules; +0 RTL_PROCESS_MODULE_INFORMATION Modules[1]; } RTL_PROCESS_MODULES, PRTL_PROCESS_MODULES; typedef struct _RTL_PROCESS_MODULE_INFORMATION { ULONG Section; +4 PVOID MappedBase; PVOID ImageBase; +12 ULONG ImageSize; ULONG Flags; USHORT LoadOrderIndex; USHORT InitOrderIndex; USHORT LoadCount; USHORT OffsetToFileName; +30 CHAR FullPathName[256]; +32 } RTL_PROCESS_MODULE_INFORMATION, PRTL_PROCESS_MODULE_INFORMATION; 2008-6-13 07:50 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 4 楼感谢楼上两位的回答。不过有一个问题，函数ZwQuerySystemInformation其中的结构说是在不同的操作系统当中有不同的结构和布局，那是不是就是意味着如果用这个函数来实现功能的话，就不太可能在不同的操作系统当中实现二进制兼容了吧。有关在内核代码当中搜索特定函数字符串的方法，可不可以通过打开System进程啊？这个进程是不是内核代码的主体啊！不知道我通过这个进程可不可以一样访问到内核代码。可否请回答一下，谢谢！ 2008-6-13 23:28 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 5 楼你的第二个问题问的很神奇。基本不着边际。 2008-6-14 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
gzgzlxg 雪币： 238 活跃值： (326) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 346 粉丝 8 关注私信	gzgzlxg 11 2 楼看看我以前回答的问题，参考一下： http://bbs.pediy.com/showthread.php?t=51369 2008-6-13 07:32 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 3 楼刚好在分析一程序。笔记中有这部分的内容，帖出来供LZ参考： ZwQuerySystemInformation 调用11号获得系统模块信息.从中找到指定的内核模块; WRK中无相关定义,windbg也弄不出来,不过ReactOS里面有: typedef struct _RTL_PROCESS_MODULES { ULONG NumberOfModules; +0 RTL_PROCESS_MODULE_INFORMATION Modules[1]; } RTL_PROCESS_MODULES, PRTL_PROCESS_MODULES; typedef struct _RTL_PROCESS_MODULE_INFORMATION { ULONG Section; +4 PVOID MappedBase; PVOID ImageBase; +12 ULONG ImageSize; ULONG Flags; USHORT LoadOrderIndex; USHORT InitOrderIndex; USHORT LoadCount; USHORT OffsetToFileName; +30 CHAR FullPathName[256]; +32 } RTL_PROCESS_MODULE_INFORMATION, PRTL_PROCESS_MODULE_INFORMATION; 2008-6-13 07:50 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 4 楼感谢楼上两位的回答。不过有一个问题，函数ZwQuerySystemInformation其中的结构说是在不同的操作系统当中有不同的结构和布局，那是不是就是意味着如果用这个函数来实现功能的话，就不太可能在不同的操作系统当中实现二进制兼容了吧。有关在内核代码当中搜索特定函数字符串的方法，可不可以通过打开System进程啊？这个进程是不是内核代码的主体啊！不知道我通过这个进程可不可以一样访问到内核代码。可否请回答一下，谢谢！ 2008-6-13 23:28 0
sudami 雪币： 709 活跃值： (2575) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 5 楼你的第二个问题问的很神奇。基本不着边际。 2008-6-14 11:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复