[求助]如果知道了一个内核函数名称，在驱动中怎么通过函数名称获得这个函数在SSDT表里的索引号和函数的地址？？？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
随风流浪雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 69 回帖 168 粉丝 1 关注私信	随风流浪 2 楼自己顶一下，有谁知道啊 2008-7-18 00:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼 lkd> s -d poi(KeServiceDescriptorTable) l1000 NtAlertThread 80504974 805d4372 806151be 805b59ea 806147da rC]..Qa..Y[..Ga. ^^^^^^^^----+ \| v lkd> ? (80504974-poi(KeServiceDescriptorTable))/4 Evaluate expression: 13 = 0000000d 2008-7-18 06:13 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 4 楼楼上方法很强大 2008-7-18 06:49 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 5 楼用google版的getprocaddress，取到的地址offset+1就是ssdt索引号，然后查表，对勾过的无效 2008-7-18 07:05 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼 getprocaddress.google.com没法访问 2008-7-18 10:09 0
NetRoc 雪币： 108 活跃值： (146) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 7 楼拿到地址然后SSDT中搜索 2008-7-18 10:13 0
随风流浪雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 69 回帖 168 粉丝 1 关注私信	随风流浪 8 楼 [QUOTE=forgot;482667]lkd> s -d poi(KeServiceDescriptorTable) l1000 NtAlertThread 80504974 805d4372 806151be 805b59ea 806147da rC]..Qa..Y[..Ga. ^^^^^^^^----+ ...[/QUOTE] 什么意思啊？？？没用过WINDBG 最好讲一下具体的算法，谢谢了！！！！ 2008-7-18 14:51 0
随风流浪雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 69 回帖 168 粉丝 1 关注私信	随风流浪 9 楼有没有人啊？？？ 2008-7-19 14:59 0
qy黄文超雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 155 粉丝 0 关注私信	qy黄文超 10 楼 SSDT基址+函数索引吗？？ 2008-7-20 21:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
随风流浪雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 69 回帖 168 粉丝 1 关注私信	随风流浪 2 楼自己顶一下，有谁知道啊 2008-7-18 00:59 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 3 楼 lkd> s -d poi(KeServiceDescriptorTable) l1000 NtAlertThread 80504974 805d4372 806151be 805b59ea 806147da rC]..Qa..Y[..Ga. ^^^^^^^^----+ \| v lkd> ? (80504974-poi(KeServiceDescriptorTable))/4 Evaluate expression: 13 = 0000000d 2008-7-18 06:13 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 4 楼楼上方法很强大 2008-7-18 06:49 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 5 楼用google版的getprocaddress，取到的地址offset+1就是ssdt索引号，然后查表，对勾过的无效 2008-7-18 07:05 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼 getprocaddress.google.com没法访问 2008-7-18 10:09 0
NetRoc 雪币： 108 活跃值： (146) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 7 楼拿到地址然后SSDT中搜索 2008-7-18 10:13 0
随风流浪雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 69 回帖 168 粉丝 1 关注私信	随风流浪 8 楼 [QUOTE=forgot;482667]lkd> s -d poi(KeServiceDescriptorTable) l1000 NtAlertThread 80504974 805d4372 806151be 805b59ea 806147da rC]..Qa..Y[..Ga. ^^^^^^^^----+ ...[/QUOTE] 什么意思啊？？？没用过WINDBG 最好讲一下具体的算法，谢谢了！！！！ 2008-7-18 14:51 0
随风流浪雪币： 200 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 69 回帖 168 粉丝 1 关注私信	随风流浪 9 楼有没有人啊？？？ 2008-7-19 14:59 0
qy黄文超雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 155 粉丝 0 关注私信	qy黄文超 10 楼 SSDT基址+函数索引吗？？ 2008-7-20 21:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复