有没有学驱动的朋友？求解释

persist

以下内容来自郁金香NT驱动，SSDT结构，获取当前函数地址


typedef struct _ServiceDescriptorTable {
PVOID ServiceTableBase; //SSDT的基地址
PVOID ServiceCounterTable;//包含着SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。
unsigned int NumberOfServices;//由ServiceTableBase 描述的服务的数目。
PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表
}*PServiceDescriptorTable;
然后
extern PServiceDescriptorTable KeServiceDescriptorTable； 、
LONG *SSDT_Adr;  
LONG SSDT_NtOpenProcess_Cur_Addr; //最终结果
LONG t_addr;//基地址
t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; 这里大家有没有共同的疑问？既然说指针是存放地址的变量，那为什么不用指针来接收基地址？为什么用long类型接收？求解释。。。。
SSDT_Adr=(PLONG)(t_addr+0x7A*4);//得到存放NTOpenProcess的地址的地址、、
SSDT_NtOpenProcess_Cur_Addr = *SSDT_Adr;//得到NTOpenProcess的地址
KdPrint(("SSDT_NtOpenProcess_Cur_Addr =%x\n",SSDT_NtOpenProcess_Cur_Addr));

丿夏夜灬彬刂

都没看过 郁金香 那教程

Tzdner_C

谁跟你说过指针是用来存放地址的？？？？？？？？？？     那这个人不是扯淡扯到家了就是你听错了。。。。

是编译器会把指针变量里面的内容解释为一个地址。。。。不是说用来存放地址或者接受地址。   例如当你需要计算两个地址之间的距离，或者偏移的时候。。。
int a;
int * p =&a;
char Buffer[10] ;

如果你想计算这个 a的地址到这个字符串首地址的距离的时候（有时候就真的需要这样做，下钩子的时候经常要这样取计算）  ，你可以 (LONG) Buffer - (LONG) p         这样   当然也可以 (LONG) Buffer - (LONG)&a                 这只是叫LZ明白，不要把指针看的那么神奇，不要把地址看的那么神秘，若需要把他当做一个普通数据处理，他就是一个普通数据，若你要把他看做一个地址处理，那么他就是一个地址，只需类型强转就可以。。。。

persist

Tzdner_C 发表于 2012-7-13 14:08

                               
登录/注册后可看大图

谁跟你说过指针是用来存放地址的？？？？？？？？？？     那这个人不是扯淡扯到家了就是你听错了。。。。
...

感谢一下，但是，为什么要变为long型呢？而不是更大的类型？

Tzdner_C

persist 发表于 2012-7-13 15:36

                               
登录/注册后可看大图

感谢一下，但是，为什么要变为long型呢？而不是更大的类型？

因为你懂得   对于32为PC机  地址最大只能是 0xFFFFFFFF 意思就是最大是 32位，  所以用LONG  ，当然用ＤＷＯＲＤ也一样的。。。但是对于６４位CPU　　就不一样了。。。

persist

Tzdner_C 发表于 2012-7-13 18:40

                               
登录/注册后可看大图

因为你懂得   对于32为PC机  地址最大只能是 0xFFFFFFFF 意思就是最大是 32位，  所以用LONG  ，当然用Ｄ ...

OK 懂了，用指针也可以的，只是偏移不用*4

我是师兄

怕做指针运算的时候 +1 变成+n个1