Comment obtenir l'adresse des modules du noyau nt et win32k ?
https://stackoverflow.com//questions/10690330
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai besoin de connaître les adresses de base où nt et win32k sont chargés.Je peux trouver ces informations en démarrant le système avec le débogage du noyau activé, en démarrant une session de débogage du noyau et en exécutant la commande lm pour obtenir une liste des modules chargés.
Ce que je veux faire, c'est déterminer par programme où ces deux modules sont chargés sans démarrer en mode débogage et en utilisant le débogueur du noyau.J'ai besoin des adresses de base pour résoudre les appels système dans un fichier journal de suivi d'événements pour Windows.
Le système sur lequel je travaille exécute Windows Server 2008 R2.
La solution
La liste des modules du noyau chargés et des adresses de base (y compris ntoskrnl) est stocké dans la liste pointée par PsLoadedModulesList symbole.Ou utiliser ZwQuerySystemInformation(SystemModuleInformation) plutôt.
Pour des informations détaillées, voir http://alter.org.ua/docs/nt_kernel/procaddr/
