(转)获取 pspCidTable 地址

http://hi.baidu.com/zapline/item/512059e3bd963ea9ce2d4f36

kd> dg @fs
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
0030 ffdff000 00001fff Data RW    0 Bg Pg P Nl 00000c92

kd> dt ffdff000 _kpcr
nt!_KPCR
   +0x000 NtTib            : _NT_TIB
   +0x01c SelfPcr          : 0xffdff000 _KPCR
   +0x020 Prcb             : 0xffdff120 _KPRCB
   +0x024 Irql             : 0x1c ''
   +0x028 IRR              : 4
   +0x02c IrrActive        : 0
   +0x030 IDR              : 0xffff20f0
   +0x034 KdVersionBlock   : 0x80545cb8

kd> dd 0x80545cb8+80
80545d38 8055a360 00000000 8055c788 00000000
80545d48 8055b620 00000000 8054acac 00000000

kd> u 8055a360
nt!PspCidTable:
8055a360 d008            ror     byte ptr [eax],1
8055a362 00e1            add     cl,ah

又看了下，山寨冰刃列进程的方法，也是通过pspcidtable

使用的是搜索函数的方法。

接下来，也将使用这个方法来实现。有机会的话，查看一下vista的FS的情况

posted @ 2013-01-25 16:55 himessage 阅读(468) 评论(0) 编辑收藏举报

刷新页面返回顶部

x1984

(转)获取 pspCidTable 地址

公告