Come posso ottenere l'indirizzo a Kernel Modules NT e Win32K?
https://stackoverflow.com//questions/10690330
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Ho bisogno di conoscere gli indirizzi di base in cui sono caricati NT e Win32K.Posso scoprire queste informazioni avviando il sistema con il debug del kernel abilitato, avviare una sessione di debug del kernel e eseguire il comando lm per ottenere un elenco dei moduli caricati.
Quello che voglio fare è determinare a livello di programmazione dove vengono caricati questi due moduli senza avviarsi in modalità di debug e utilizzando il debugger del kernel.Ho bisogno degli indirizzi di base per la risoluzione delle Syscall in un evento Tracciamento per il file di registro di Windows.
Il sistema a cui sto lavorando è in esecuzione Windows Server 2008 R2.
Soluzione
L'elenco dei moduli del kernel caricati e gli indirizzi di base (incluso ntoskrnl) è memorizzato nell'elenco puntato dal simbolo PsLoadedModulesList.
O utilizzare invece ZwQuerySystemInformation(SystemModuleInformation).
Per informazioni dettagliate vedere http://alter.org.ua/docs/nt_kernel/procadddr/
