如何获取内核模块 nt 和 win32k 的地址?
https://stackoverflow.com//questions/10690330
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我需要知道加载 nt 和 win32k 的基地址。我可以通过在启用内核调试的情况下启动系统、启动内核调试会话并运行命令来找到此信息 lm 获取已加载模块的列表。
我想要做的是以编程方式确定这两个模块的加载位置,而无需启动到调试模式并使用内核调试器。我需要基地址来解析 Windows 事件跟踪日志文件中的系统调用。
我正在使用的系统运行的是 Windows Server 2008 R2。
解决方案
加载的内核模块和基地址列表(包括 ntoskrnl) 存储在由 PsLoadedModulesList 象征。或者使用 ZwQuerySystemInformation(SystemModuleInformation) 反而。
不隶属于 StackOverflow
