カーネルモジュールNTとWin32Kにアドレスを取得するにはどうすればよいですか。
https://stackoverflow.com//questions/10690330
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
NTとWIN32Kがロードされているベースアドレスを知る必要があります。この情報は、カーネルデバッグが有効になっているシステムを起動し、カーネルデバッグセッションを開始し、コマンドlmを実行してロードされたモジュールのリストを取得できます。
私がやりたいことは、プログラムでこれら2つのモジュールがデバッグモードに起動してカーネルデバッガを使用することなくロードされる場所を決定することです。WindowsログファイルのイベントトレースでSYSCALLSを解決するためのベースアドレスが必要です。
作業中のシステムは、Windows Server 2008 R2を実行しています。
解決
ロードされたカーネルモジュールとベースアドレス(ntoskrnlを含む)のリストは、PsLoadedModulesListシンボルによって指されたリストに格納されています。
または代わりにZwQuerySystemInformation(SystemModuleInformation)を使用してください。
所属していません StackOverflow
