Поскольку NtUserSendInput является экспортируемой функцией, это означает, что формат PE изображения (в частности, каталога экспорта) позволит вам узнать адрес функции, если вы проанализируете ее правильно.
ЭтоЛучшее решение: получить смещение из IDA Pro даст вам адрес для конкретной версии , что означает, что мне придется получать смещение для каждой сборки win32kfull.sys, и каждый раз, когда у вас будет новая версия, у вас будетобновить драйвер.
Итак, если у вас есть базовый адрес win32kfull.sys, вы можете рассматривать его как начальный адрес для структуры PE и анализировать его, в Интернете есть множество учебных пособий о том, как это сделать..