8

ntとwin32kがロードされているベースアドレスを知る必要があります。この情報は、カーネルデバッグを有効にしてシステムを起動し、カーネルデバッグセッションを開始し、コマンドlmを実行してロードされたモジュールのリストを取得することで確認できます。

私がやりたいのは、デバッグモードで起動したり、カーネルデバッガーを使用したりせずに、これら2つのモジュールがロードされる場所をプログラムで決定することです。Windowsログファイルのイベントトレースでシステムコールを解決するためのベースアドレスが必要です。

私が取り組んでいるシステムは、Windows Server2008R2を実行しています。

4

1 に答える 1

12

ロードされたカーネルモジュールとベースア​​ドレス(を含む)のリストは、記号ntoskrnlで示されるリストに格納されます。PsLoadedModuleListまたは、ZwQuerySystemInformation(SystemModuleInformation)代わりに使用してください。

詳細については、http://alter.org.ua/docs/nt_kernel/procaddr/を参照してください。

于 2012-05-21T19:30:02.170 に答える