Consefour 发表于 2011-8-7 13:46:58

枚举SSDT中的Nt*函数地址所在的模块思路

对于一个干净的SSDT来说,所有服务函数的地址应该是处于ntoskrnl.exe的地址

空间内,但一旦SSDT中的某些函数被HOOK了之后,这些函数可能是位于其它模块

的地址空间中。我们找出这些模块,就知道谁对SSDT动了手脚。
**** Hidden Message *****

msn882 发表于 2011-12-3 17:20:29

谢谢分享谢谢分享

wftxd521 发表于 2011-12-28 09:32:33

一定要学习学习!~

aa1003072656 发表于 2011-12-28 21:47:51

函数地址所在的模块思路

zh63573351 发表于 2012-1-14 22:10:08

回复 1# Consefour


    dddddddddd

zhangchenggu 发表于 2012-6-29 12:23:46

回复 1# Consefour


    这个好玩啊

cooby 发表于 2013-9-28 11:48:57

收藏了!!!!LZ辛苦了!辛苦了。

a5235858 发表于 2013-12-10 10:54:16

学习一下!我枚举出来的都是ZW开头的很烦恼啊!

w617594434 发表于 2014-7-2 09:12:48

.版本 2

.DLL命令 TerminateProcess_, 整数型, "kernel32", "TerminateProcess", ,结束一个进程 非零表示成功,零表示失败。会设置GetLastError
    .参数 hProcess, 整数型, , 指定要中断的一个进程的句柄
    .参数 uExitCode, 整数型, 传址, 进程的一个退出代码;

fengxue263 发表于 2014-7-3 17:41:26

呜呜呜呜呜呜呜呜呜:(
页: [1] 2
查看完整版本: 枚举SSDT中的Nt*函数地址所在的模块思路