bjinge 发表于 2011-8-8 08:26:35

如何获得原始Shadow SSDT地址

win2k sp4~winxp sp1首先定位加载的win32k.sys的入口点(静态文件的麻烦一些),然后搜索FF 15 DD CC BB AA特征,如果0xAABBCCDD指向的内容是KeAddSystemServiceTable则当前指令的前面4字节就是表的实际地址
**** Hidden Message *****
如有谬误,请指正

cooby 发表于 2013-9-28 13:32:51

一大学生 最低奋斗目标:农妇,山泉,有点田.

地狱神龙 发表于 2017-5-15 20:51:53

要了 1111111111

qq412158094 发表于 2019-3-28 17:30:14

支持楼主,支持看流星社区,以后我会经常来!
页: [1]
查看完整版本: 如何获得原始Shadow SSDT地址