#define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这
2013-08-17 14:15
330 查看
这个跟KeServiceDescriptorTable的结构有关
下面是KeServiceDescriptorTable的结构定义
KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR {
PULONG_PTR Base;
PULONG Count;
ULONG Limit;
PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
KeServiceDescriptorTable.ServiceTableBase就是其中的第一项Base,这里是定义的名字不一样没关系。
而Base指向的SSDT函数地址表,所以下面的语句就是一个宏用来取得函数地址表中对应序号的函数
KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1)
*(PULONG)((PUCHAR)_func+1这里要解释下,这个语句是取函数它对应的SSDT上的序号,这个语句之所以能去到,跟ZW 系列SSDT函数有关,ZW系列函数的第二个字节就是序号,所以用上面语句取出序号,然后用这个序号取出函数地址
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- #define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这
- 在XP内核模式下如何获得KeServiceDescriptorTableShadow的地址
- windebug查看KeServiceDescriptorTable
- KeServiceDescriptorTableShadow的获取
- 编译器报错: error LNK2001: unresolved external symbol "struct _ServiceDescriptorTable * KeServiceDescript
- 编译器报错: error LNK2001: unresolved external symbol "struct _ServiceDescriptorTable * KeServiceDescript
- [转载]恢复2k/xp win32k.sys的KeServiceDescriptorTableShadow
- 关于windbg不能正确显示KeServiceDescriptorTableShadow的问题
- KeServiceDescriptorTable 结构及获取
- Obtaining KeServiceDescriptorTableShadow address
- SharePoint 2013 error The given assembly name or codebase System.ServiceModel.dll was invalid
- “System.Data”中不存在类型或命名空间名称“TypedTableBase”
- SSDT(System Services Descriptor Table)系统服务描述符表
- X64系统下的KeServiceDescriptionTable
- 解决Virtual Box 下安装Mac OS X时出现的“hfs: could not initializc summary table for OSX Base System ”问题
- SSDT笔记。(System Services Descriptor Table)
- SharePoint 2013 error The given assembly name or codebase System.ServiceModel.dll was invalid
- Unity打包iOSFailed to resolve base type System.ServiceModel.Configuration.BehaviorExtensionElement for
- 通过Hook SSDT (System Service Dispath Table) 隐藏进程
- System Service Dispatch Table(SSDT)