SSDT原始表的获取以及重定位修复问题
如上图,我用IDA定位到 在原始文件中的SSDT表 ,下面是HEX图,
上面图中的SSDT表的地址都是未修复的,我尝试按照重定位的方式修复,就是要修复函数地址 - ImageBase + 内核加载地址
发现算出来 和在 xuetr看的值不一样, !!!请大家们 给一个 从ntoskrnl.exe 读取原始 SSDT并且 修复的方法
建议你去某雪,表示我连dll重定位都搞不定、、 MmGetSystemRoutineAddress 通过名字可以直接拿到nt系列函数地址。
页:
[1]