カーネルモジュールNTとWin32Kにアドレスを取得するにはどうすればよいですか。
-
12-12-2019 - |
質問
NTとWIN32Kがロードされているベースアドレスを知る必要があります。この情報は、カーネルデバッグが有効になっているシステムを起動し、カーネルデバッグセッションを開始し、コマンドlm
を実行してロードされたモジュールのリストを取得できます。
私がやりたいことは、プログラムでこれら2つのモジュールがデバッグモードに起動してカーネルデバッガを使用することなくロードされる場所を決定することです。WindowsログファイルのイベントトレースでSYSCALLSを解決するためのベースアドレスが必要です。
作業中のシステムは、Windows Server 2008 R2を実行しています。
解決
ロードされたカーネルモジュールとベースアドレス(ntoskrnl
を含む)のリストは、PsLoadedModulesList
シンボルによって指されたリストに格納されています。
または代わりにZwQuerySystemInformation(SystemModuleInformation)
を使用してください。
所属していません StackOverflow