커널 모듈 nt 및 win32k의 주소를 어떻게 얻나요?
https://stackoverflow.com//questions/10690330
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
nt와 win32k가 로드되는 기본 주소를 알아야 합니다.커널 디버깅이 활성화된 상태에서 시스템을 부팅하고 커널 디버그 세션을 시작한 후 다음 명령을 실행하여 이 정보를 찾을 수 있습니다. lm 로드된 모듈 목록을 가져옵니다.
내가 원하는 것은 디버그 모드로 부팅하거나 커널 디버거를 사용하지 않고 이 두 모듈이 로드되는 위치를 프로그래밍 방식으로 결정하는 것입니다.Windows용 이벤트 추적 로그 파일에서 syscall을 해결하려면 기본 주소가 필요합니다.
제가 작업 중인 시스템은 Windows Server 2008 R2를 실행하고 있습니다.
해결책
로드된 커널 모듈 및 기본 주소 목록(포함) ntoskrnl)는 다음이 가리키는 목록에 저장됩니다. PsLoadedModulesList 상징.또는 사용 ZwQuerySystemInformation(SystemModuleInformation) 대신에.
자세한 내용은 다음을 참조하세요. http://alter.org.ua/docs/nt_kernel/procaddr/
제휴하지 않습니다 StackOverflow
