[求助]怎么得到SSDT函数序号？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼 nt!NtOpenProcess: 80582702 68c4000000 push 0C4h *（PULONG）（（ULONG）函数+1） 2009-8-8 19:27 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼 PUSHORT好点 PULONG可能会出错 2009-8-8 19:35 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼 .......何解？ 2009-8-8 19:37 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 5 楼 SysCallIndex = ( (WORD)(FuncAddr + 1) ); 2009-8-8 20:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 6 楼 2楼的是错的，那个不是序号，不信你随便找个看SSDT的工具对照一下。要取也只能从Zw*里面取，或者从Ntdll里面随便取~ 2009-8-8 20:43 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 7 楼 ls观察能力强。。。是阿，内核的Nt打头是实现函数了其实类似的内容网上已经有无数的答案了不知道为什么lz不先搜索一下难道在这里提问等待别人回答会比自己搜索还快？ 2009-8-8 21:06 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 8 楼搞错了，是ntdll!ntopenprocess 多谢指正 2009-8-11 00:01 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 9 楼 lkd> u ntdll!ntopenprocess ntdll!ZwOpenProcess: 7c92d5fe b87a000000 mov eax,7Ah 7c92d603 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92d608 ff12 call dword ptr [edx] 7c92d60a c21000 ret 10h 7c92d60d 90 nop 2009-8-11 00:01 0
SSuNN 雪币： 241 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	SSuNN 10 楼感谢楼上的热心 2009-8-17 18:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼 nt!NtOpenProcess: 80582702 68c4000000 push 0C4h *（PULONG）（（ULONG）函数+1） 2009-8-8 19:27 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 3 楼 PUSHORT好点 PULONG可能会出错 2009-8-8 19:35 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 4 楼 .......何解？ 2009-8-8 19:37 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 5 楼 SysCallIndex = ( (WORD)(FuncAddr + 1) ); 2009-8-8 20:43 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 49 关注私信	achillis 15 6 楼 2楼的是错的，那个不是序号，不信你随便找个看SSDT的工具对照一下。要取也只能从Zw*里面取，或者从Ntdll里面随便取~ 2009-8-8 20:43 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 7 楼 ls观察能力强。。。是阿，内核的Nt打头是实现函数了其实类似的内容网上已经有无数的答案了不知道为什么lz不先搜索一下难道在这里提问等待别人回答会比自己搜索还快？ 2009-8-8 21:06 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 8 楼搞错了，是ntdll!ntopenprocess 多谢指正 2009-8-11 00:01 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 9 楼 lkd> u ntdll!ntopenprocess ntdll!ZwOpenProcess: 7c92d5fe b87a000000 mov eax,7Ah 7c92d603 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92d608 ff12 call dword ptr [edx] 7c92d60a c21000 ret 10h 7c92d60d 90 nop 2009-8-11 00:01 0
SSuNN 雪币： 241 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	SSuNN 10 楼感谢楼上的热心 2009-8-17 18:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复