摘要： 以Windows 7 x64为例。 原理：在ntdll中，反汇编Nt*函数，在第二行可以看到对应索引，根据索引在nt模块中，根据公式计算服务函数地址 方法： - 使用windbg + 虚拟机，加载ntdll.dll符号，在ntdll.dll中反汇编对应Zw*函数寻找索引（Nt*函数也可以，因为它俩地 阅读全文