2020年10月21日
【内核技术】快速通过 WinDbg 获取 Shadow SSDT 表中函数索引号的方法
摘要: 如果是 Hook SSDT 表中的 Nt* 函数,我们可以直接通过 Zw* 函数地址加偏移1字节的地方获取到索引号。但 Shadow SSDT表的函数则不然,每个 win32k.sys 有关的图形函数开头的汇编代码都不一致,因此 Hook SSDT 表所使用的方法在这里派不上用场了。但我们通过下面的 阅读全文
posted @ 2020-10-21 21:37 Dubh3 阅读(542) 评论(0) 推荐(0) 编辑