DebugCai

摘要： IAT hook一般来说没有问题，ntoskrnl比较不一样，它的输入表在.INIT节，但是被加载之后这个节就补丢弃了，以至于想在内存中解析PE获取IAT将全部失效。但是文件中IAT的RVA跟内存中是一样的，当然这里指的是FirstThunk，面不是OriginalFirstThunk比如ntoskrnl输入表的KDCOM.DLL的KdSendPacket函数如下lkd> u KdSendPacketnt!KdSendPacket:8053fc3e ff2544914d80 jmp dword ptr [nt!_imp__KdSendPacket (804d9144)] ;nt... 阅读全文