Question

У меня есть вопрос о вызове подпрограммы ZwReadVirtualMemory из моего драйвера.Я заметил, что это не экспортируется ntokskrnl после сброса EAT.Как и где я могу найти виртуальный адрес для этой подпрограммы?

Он расположен в ssdt?если это так, разве патчгард не мешает мне там читать?Или это только для записи.

Кроме того, это для Windows 7 x64.

Спасибо!

Sergey Podobry · Answer 1 · 12 сентября 2011

ZwReadVirtualMemory не экспортируется из ядра.Но вы можете найти его в SSDT.Используйте трюк с ntdll.Не беспокойтесь о PatchGuard.Это предотвращает только от модификации кода, чтение в порядке.

Также учтите, что ZwReadVirtualMemory - не единственный способ чтения виртуальной памяти.

LordDoskias · Answer 2 · 21 сентября 2011

Имейте в виду, что SSDT на win 64 не содержит указателей на функции. Он содержит смещения, относящиеся к началу nt! KiServiceTable. Также одним из жизнеспособных способов обнаружения SSDT является выполнение какого-либо сканирования шаблонов для определения местоположения. В основном, для 64 бит просто забыть о том, чтобы свободно возиться с SSDT. Для получения дополнительной информации читайте это

Более того - patchguard предназначен только для модификации критичных для системы компонентов.

ZwReadVirtualMemory и PatchGuard

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

ZwReadVirtualMemory и PatchGuard

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы