[求助]求助,如何看一个64位win7下的SSDT 函数的标号?

dengxm 2018-7-10 18:47 270
博主你好!请问下怎么查找这个标号,假如我要HOOK NtQuerySystemInformation,要怎么查呢?
听说用 windbg 可以查? 但具体怎么样呢?我是 win7 x64



推荐:论坛大聚会| 看雪安全开发者峰会将于7月21号火热来袭!

最新回复 (1)
AperOdry 2018-7-10 22:02
2
0: kd> u nt!ZwQuerySystemInformation
nt!ZwQuerySystemInformation:
fffff800`04073b20 488bc4          mov     rax,rsp
fffff800`04073b23 fa              cli
fffff800`04073b24 4883ec10        sub     rsp,10h
fffff800`04073b28 50              push    rax
fffff800`04073b29 9c              pushfq
fffff800`04073b2a 6a10            push    10h
fffff800`04073b2c 488d05bd2b0000  lea     rax,[nt!KiServiceLinkage (fffff800`040766f0)]
fffff800`04073b33 50              push    rax
0: kd> u
nt!ZwQuerySystemInformation+0x14:
fffff800`04073b34 b833000000      mov     eax,33h
fffff800`04073b39 e902630000      jmp     nt!KiServiceInternal (fffff800`04079e40)
fffff800`04073b3e 6690            xchg    ax,ax
EAX的赋值就为 SSDT Index  '(0x33)
记住!查Zw
返回