如何获得原始Shadow SSDT地址
win2k sp4~winxp sp1首先定位加载的win32k.sys的入口点(静态文件的麻烦一些),然后搜索FF 15 DD CC BB AA特征,如果0xAABBCCDD指向的内容是KeAddSystemServiceTable则当前指令的前面4字节就是表的实际地址**** Hidden Message *****
如有谬误,请指正 一大学生 最低奋斗目标:农妇,山泉,有点田. 要了 1111111111 支持楼主,支持看流星社区,以后我会经常来!
页:
[1]