获取任意NT*和NtUser*系列函数地址(SSDT表和SSDT影子表定位)
本贴是驱动编程贴。比较经典和实用。凡是驱动编程都要用到的。在驱动钩子编程上 使用频率很高。也包括 恢复驱动钩子等。
-------------------------------------------------------------------------------------
影子表是未导出的,需要定位才能找到。由于过程麻烦所以本贴封装了一个函数给大家使用。。。
基于界面、找窗口、后台按键等消息函数 等全是 NtUser* 开头的,是在ssdt影子表上的。
而基于内存、进程方面的函数全是NT*开头的,是在ssdt表上的。
ssdt表是导出的可以,上面的函数地址很容易 获取。
但是 ssdt影子表是未导出的,上面得函数地址就很麻烦获取。。。
不过现在不用担心麻烦了,以下这个函数 帮你全部搞定。。。。。
封装了一个自定义的函数GetSSDTCurAddr ,参数只有2个
功能 可以获取任意NT*和NtUser*系列函数地址。
内核函数地址有啥用,我就不多说了。。。各种HOOK 保护全是从内核函数 地址开始的。
源码下载地址:
**** Hidden Message *****
强烈支持楼主ing…… 真是难得给力的帖子啊。 貌似很强大额 激动人心,无法言表! 楼主加油,鱼C加油!我们都看好你哦! 强烈支持楼主ing…… 强烈支持楼主ing……
虽然现在可能还看不懂
淡定,淡定,淡定……我不得不说了…… 强烈支持楼主ing…… 淡定,淡定,淡定…… 真是难得给力的帖子啊。 驱动这块不太懂,不知道 SSDT 和 Shadow SSDT 之间有什么联系 真是难得给力的帖子啊。 强烈支持楼主ing…… 强烈支持楼主,学习ing 非常需要一个,谢谢, 这个需要用到了,谢谢分享
页:
[1]