¿Cómo obtengo la dirección de los módulos del kernel nt y win32k?
https://stackoverflow.com//questions/10690330
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Necesito saber las direcciones base donde se cargan nt y win32k.Puedo encontrar esta información iniciando el sistema con la depuración del kernel habilitada, iniciando una sesión de depuración del kernel y ejecutando el comando lm para obtener una lista de los módulos cargados.
Lo que quiero hacer es determinar mediante programación dónde se cargan estos dos módulos sin iniciar el modo de depuración y usar el depurador del kernel.Necesito las direcciones base para resolver llamadas al sistema en un archivo de registro de Event Tracing para Windows.
El sistema en el que estoy trabajando ejecuta Windows Server 2008 R2.
Solución
La lista de módulos del kernel cargados y direcciones base (incluidos ntoskrnl) se almacena en la lista señalada por PsLoadedModulesList símbolo.O usar ZwQuerySystemInformation(SystemModuleInformation) en cambio.
Para información detallada ver http://alter.org.ua/docs/nt_kernel/procaddr/
