获取ntkrnlpa.exe基地址

最新推荐文章于 2023-12-19 12:01:02 发布
最新推荐文章于 2023-12-19 12:01:02 发布
阅读量1.5k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2792360
版权
获取内核摸块的地址,在一般,二般,三般的情况下,你可能会遇到下面的情况
   1 ZwQuerySystemInformation被HOOK
   2 断了链
   3 擦了"MZ"
   没有第一个模块ntkrnlpa.exe.很多anti-rootkit都不能正确运行吧

但方法还是有的,思路
   ntkrnlpa.exe基地址 + XXXAPI在PE文件上的偏移 = XXXAPI在内存中的地址

   SO:
   ntkrnlpa.exe基地址 = XXXAPI在内存中的地址 - XXXAPI在PE文件上的偏移;

   XXXAPI在内存中的地址????那么多和API....总有一个是正常的!!!
   这样就可以得到正确的ntkrnlpa.exe基地址

   还有.....顺便说下....微点的进程不用恢复HOOK就可以结束了........

iiprogram
关注
专栏目录
获取内核ntoskrnl.exe基地的几种常见办法
11-09 5069
 作 者: combojiang如果大家写过shellcode一定还记得,shellcode中开头要找kernel32.dll模块的内存加载地。同样,如果大家要写一个内核的类似东东的话,第一步也是要找出ntoskrnl.exe模块的内存加载位置。有三种常见办法在这里咱们大体描述下:1。利用ZwQuerySystemInformation 来检索加载的模块,从加载模块里面搜索出ntoskrnl.e
Win7睡眠蓝屏解决方法(ntkrnlpa.exe
热门推荐
Dogous的专栏
09-07 1万+
一、症状: (1)Win7系统可以正常使用,但从待机或休眠返回时则蓝屏,重启后系统提示: Windows已从异常关机中恢复 问题签名:   问题事件名称:        BlueScreen   OS 版本:        6.1.7601.2.1.0.256.1   区域设置 ID:        2052   有关该问题的其他信息:   BCCode:       9f
Windows 7-32位系统文件【ntkrnlpa.exe
02-27
Windows 7-32位系统文件【ntkrnlpa.exe】,微软原版。
获取ntoskrnl的基
十年磨一剑,霜刃未曾试!
08-01 1153
使用NtQuerySystemInformation来检索加载的模块,从加载模块里面搜索出ntoskrnl.exe模块 NTSTATUS Status; PUCHAR BaseAddress = NULL; NTSTATUS ntStatus; PMODULES pModules; ULONG NeededSize; pModules = (PMODULES)&pModules;
获取操作系统的内核基地
05-26 161
jpg 改 rar 转载于:https://www.cnblogs.com/kuangke/p/5531772.html
关于kernel32基地获取
xrain_zh的专栏
03-27 5033
[-] 关于kernel32基地获取 一shellcode获取kernel32dll基地获取当前进程的PID 文件名 以及完整路径 关于kernel32基地获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地) 首先了解TEB,
Windows系统缺失wpnapps.dll文件如何解决?
amio555的专栏
07-03 385
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个wpnapps.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现wpnapps.dll丢失要怎么解决?
ntkrnlpa.exe
最新发布
01-12
ntkrnlpa
Ntoskrnl.exe win7蓝屏修复程序
03-28
症状 假定您启用的计算机正在运行 Windows Server 2008 R2 中的 ...Ntkrnlpa.exe 6.1.7600.20510 3,954,760 2009 年 8 月 20 日 05:54 不适用 Ntoskrnl.exe 6.1.7600.20510 3,899,480 2009 年 8 月 20 日 05:54 不适用
Unable to load image ntoskrnl.exe的问题
dizhifu3111的博客
09-29 1572
最近在分析一个蓝屏dump时发现,nt模块加载不了符号表,其他系统驱动的符号表都能加载成功 3: kd> .reload /f nt Unable to load image ntoskrnl.exe, Win32 error 0n2 *** WARNING: Unable to verify timestamp for ntoskrnl.exe *** ERROR: ...
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
Ring3恢复HOOK FOR Delphi
02-23
Ring3恢复HOOK FOR Delphi
Windows7系统ntkrnlpa.exe文件丢失问题
amio555的专栏
12-19 1060
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个ntkrnlpa.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现ntkrnlpa.exe丢失要怎么解决?
内核文件ntoskrnl.exe,ntkrnlpa.exe的区别??
diaoyo2388的博客
09-02 973
除了标题中说到的两个exe文件之外,还有另外两个ntkrnlmp.exentkrpamp.exe。因为我目前用到的只是标题中的两个。 其中,我在网上搜索到的关于SSDT HOOK 的资料,举的例子,全是关于ntoskrnl.exe。 而我在我自己的Win Xp系统电脑上用WINDBG查看,我的内核文件时ntkrnlpa.exe。 所以在写文档时,遇到这个内核文件不相等的问题,所以...
劫持ZwQuerySystemInformation进行进程隐藏
苞米地里捉小鸡的博客
10-14 972
背景 进程隐藏,顾名思义就是运行注入程序之后,可以在任务管理器中让可见的目标进程消失。 当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码注入、进程内存替换、HOOK API 等等。我们本文要介绍的就是 HOOK API 函数 ZwQuerySystemInformation 实现的隐藏指定进程。 主要思路是通过Hook API技术抓ZwQuerySystemInformation函数,对它获取的进程列表信息进行修改,把有我们要隐藏的进程信息从中去掉,那么 ZwQuerySystemIn
xp或win7中的2个内核文件与符号文件的区别
zhaopeng01zp的博客
09-13 573
简单来说,是同一套源代码根据编译选项的不同而编译出四个可执行文件,分别用于: ntoskrnl.exe - 单处理器,不支持PAE ntkrnlpa.exe - 单处理器,支持PAE ntkrnlmp.exe - 多处理器,不支持PAE ntkrpamp.exe - 多处理器,支持PAE 在IDA中分析xp或win7的话,101012分页使用ntoskrnl.exe,对应的符号文件是ntkrnlmp.pdb; 29912分页使用ntkrnlpa.exe,对应的符号文件是ntkrpamp.pdb。 ...
《深入理解Windows操作系统》笔记6
数据库天地
02-24 1048
lkd>lmkv startendmodulename 804d8000806e5000nt(pdbsymbols)c:\windows\symbols\exe\ntkrpamp.pdb Loadedsymbolimagefile:ntkrpamp.exe Imagepath:ntkrpamp.exe Imagename:ntkrpamp.exe Timestamp:MonApr1402:...
windows 核心文件
msebilly的专栏
09-25 790
NTOSKRNL.EXE : 1 CPU  NTKRNLMP.EXE : N CPU SMP NTKRNLPA.EXE : 1 CPU, PAE NTKRPAMP.EXE : N CPU SMP, PAE 其中 Ntoskrnl.exeNtkrnlmp.exe 同时存在于 i386 文件夹下和 DRIVER.CAB 中. 而 Ntkrnlpa.exe 与 Nt
Vista下VistaLKD工具实现动态Local Kernel Debug揭秘
作者利用了动态反汇编的技巧,通过先静态反汇编ntkrnlpa.exe来理解这部分代码的工作原理,尽管使用了Hex-Rays decompiler插件也难以完全解析。 Sub_10990函数内部的逻辑非常微妙,它涉及到系统调试控制的获取,这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值