枚举SSDT中的Nt*函数地址所在的模块思路
对于一个干净的SSDT来说,所有服务函数的地址应该是处于ntoskrnl.exe的地址空间内,但一旦SSDT中的某些函数被HOOK了之后,这些函数可能是位于其它模块
的地址空间中。我们找出这些模块,就知道谁对SSDT动了手脚。
**** Hidden Message ***** 谢谢分享谢谢分享 一定要学习学习!~ 函数地址所在的模块思路 回复 1# Consefour
dddddddddd 回复 1# Consefour
这个好玩啊 收藏了!!!!LZ辛苦了!辛苦了。 学习一下!我枚举出来的都是ZW开头的很烦恼啊! .版本 2
.DLL命令 TerminateProcess_, 整数型, "kernel32", "TerminateProcess", ,结束一个进程 非零表示成功,零表示失败。会设置GetLastError
.参数 hProcess, 整数型, , 指定要中断的一个进程的句柄
.参数 uExitCode, 整数型, 传址, 进程的一个退出代码; 呜呜呜呜呜呜呜呜呜:(
页:
[1]
2