Как мне получить адрес в модулях ядра NT и Win32k?
https://stackoverflow.com//questions/10690330
-
12-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мне нужно знать базовые адреса, где загружаются NT и Win32k.Я могу узнать эту информацию, загрузив систему с включенным отладкой ядра, запустите сеанс отладки ядра и запустите команду lm, чтобы получить список загруженных модулей.
Что я хочу сделать, это программно определить, где эти два модуля загружены без загрузки в режим отладки и с помощью отладчика ядра.Мне нужны базовые адреса для разрешения SESCalls в трассировке событий для файла журнала Windows.
Система, на которой я работаю, управляет Windows Server 2008 R2.
Решение
Список загруженных модулей ядра и базовых адресов (включая ntoskrnl) хранится в списке, указанном символом PsLoadedModulesList.
Или вместо этого используйте генеракодицетагкод.
Для получения подробной информации см. http://alter.org.ua/docs/nt_kernel/procaddr/
