枚举SSDT中的Nt*函数地址所在的模块思路

Consefour · 发表于 2011-8-7 13:46:58

对于一个干净的SSDT来说，所有服务函数的地址应该是处于ntoskrnl.exe的地址

空间内，但一旦SSDT中的某些函数被HOOK了之后，这些函数可能是位于其它模块

的地址空间中。我们找出这些模块，就知道谁对SSDT动了手脚。

游客，如果您要查看本帖隐藏内容请回复

msn882 · 发表于 2011-12-3 17:20:29

谢谢分享谢谢分享

wftxd521 · 发表于 2011-12-28 09:32:33

一定要学习学习！~

aa1003072656 · 发表于 2011-12-28 21:47:51

函数地址所在的模块思路

zh63573351 · 发表于 2012-1-14 22:10:08

回复 1# Consefour

dddddddddd

zhangchenggu · 发表于 2012-6-29 12:23:46

回复 1# Consefour

这个好玩啊

cooby · 发表于 2013-9-28 11:48:57

收藏了！！！!LZ辛苦了！辛苦了。

a5235858 · 发表于 2013-12-10 10:54:16

学习一下！我枚举出来的都是ZW开头的很烦恼啊！

w617594434 · 发表于 2014-7-2 09:12:48

.版本 2

.DLL命令 TerminateProcess_, 整数型, "kernel32", "TerminateProcess", , 结束一个进程　非零表示成功，零表示失败。会设置GetLastError
.参数 hProcess, 整数型, , 指定要中断的一个进程的句柄
.参数 uExitCode, 整数型, 传址, 进程的一个退出代码;

fengxue263 · 发表于 2014-7-3 17:41:26

呜呜呜呜呜呜呜呜呜

		自动登录	找回密码
密码			注册账号