Come posso ottenere l'indirizzo per i moduli del kernel nt e win32k?

Ho bisogno di conoscere gli indirizzi di base in cui sono caricati nt e win32k. Posso trovare queste informazioni avviando il sistema con il debug del kernel abilitato, avviare una sessione di debug del kernel ed eseguire il comando lm per ottenere un elenco dei moduli caricati.Come posso ottenere l'indirizzo per i moduli del kernel nt e win32k?

Quello che voglio fare è determinare a livello di codice dove questi due moduli sono caricati senza l'avvio in modalità debug e utilizzando il debugger del kernel. Ho bisogno degli indirizzi di base per la risoluzione di syscall in un file di log di Event Tracing per Windows.

Il sistema su cui sto lavorando esegue Windows Server 2008 R2.

fonte

2012-05-21 canzar

L'elenco dei moduli del kernel e degli indirizzi di base caricati (incluso ntoskrnl) è memorizzato nell'elenco contrassegnato dal simbolo PsLoadedModulesList. Oppure utilizzare ZwQuerySystemInformation(SystemModuleInformation).

per informazioni dettagliate consultare http://alter.org.ua/docs/nt_kernel/procaddr/

fonte

2012-05-21 19:30:02 Xearinox

è necessario fornire almeno un abstract o una sintesi delle informazioni, oltre al link. –

http://www.kernelmode.info/forum/viewtopic.php?f=10&t=405&start=0 – Xearinox

+1 Molto meglio !! –

Come posso ottenere l'indirizzo per i moduli del kernel nt e win32k?

risposta

Problemi correlati