| Сейчас на форуме: jinoweb, bartolomeo (+5 невидимых) |
 |
eXeL@B —› Программирование —› ZwProtectVirtualMemory из ядра |
| Посл.ответ | Сообщение |
|
|
Создано: 08 января 2017 21:54 · Личное сообщение · #1 функция ZwProtectVirtualMemory не экспортируется в ядре ... как можно воспользоваться тогда функцией из ядра ?? если возможно то пример  |
|
|
Создано: 08 января 2017 23:09 · Поправил: dosprog · Личное сообщение · #2 Как это не экспортируется? Проверил. Экспортируется нормально: Code:
Утилита для проверки:  7149_08.01.2017_EXELAB.rU.tgz - procaddr.rar--Добавлено-- deniskore, скорей всего, да. |
|
|
Создано: 08 января 2017 23:17 · Поправил: deniskore · Личное сообщение · #3 Судя по всему он имел ввиду вызов функции из драйвера. Используйте для получения адреса функции ZwProtectVirtualMemory. Пример получения адреса: Code:
Затем делаете вызов функции согласно ее прототипу. |
|
|
Создано: 13 февраля 2017 05:12 · Личное сообщение · #4 dosprog Видимо это общий вопрос. Большая часть нтапи не экспортится. А не экспортится оно не просто так, разрабы не забыли добавить их в экспорт, просто это не предназначено для юзания из ядра. Так как это приведёт к анстаб. В целом же поиск этих стабов нужен обычно виксам. Используется следующий способ. Сервисы вызываются по их номеру. Соответственно этот номер должен быть определён. Это делается из юзер-нэйтива - нтдлл экспортит все сервисы. Обычно не мапится модуль, а выполняется аттачь к процессу system(там это уже спроецировано). Энумится экспорт и создаётся сервисный дамп. Затем вызов выполняется по хэшу сервиса - в дампе находится соответствующий ему номер. Добавлено спустя -18 минут Вот семпл собрал. Это юзер код, но никакой разницы нет. 0280_13.02.2017_EXELAB.rU.tgz - Ntid.rar
----- vx |
|
eXeL@B —› Программирование —› ZwProtectVirtualMemory из ядра |
Для печати