7
我需要知道nt和win32k加載的基地址。通過啓用啓用內核調試的系統,我可以找到這些信息,啓動內核調試會話,並運行命令lm以獲取加載模塊的列表。如何獲取內核模塊nt和win32k的地址?
我想要做的是以編程方式確定這兩個模塊的加載位置,而無需引導到調試模式並使用內核調試器。我需要在Windows日誌文件事件跟蹤中解析系統調用的基地址。
我正在使用的系統正在運行Windows Server 2008 R2。
A
回答
11
加載的內核模塊和基地址(包括ntoskrnl)的列表存儲在由PsLoadedModulesList符號指向的列表中。代替 或使用ZwQuerySystemInformation(SystemModuleInformation)。
相關問題
- 1. 如何獲取內核模塊的地址(使用insmod加載)
- 2. 從內核模塊獲取本地網卡的IP地址
- 3. 如何在內核模塊開發下解析IP地址的Mac地址?
- 4. Linux內核和我的內核模塊
- 5. Linux內核:獲取函數地址爲內核驅動程序
- 6. NT內核編程
- 7. 如何獲取Linux內核模塊的選項列表?
- 8. 在運行時從linux內核模塊獲取內核版本
- 9. 運行時加載內核模塊如何知道核心內核函數的地址?
- 10. 如何在Linux內核模塊中獲取CPU信息?
- 11. 如何從Linux內核模塊獲取使用次數?
- 12. 如何從Linux內核模塊獲取配置數據?
- 13. 如何從linux內核模塊獲取主機名?
- 14. Android和內核模塊
- 15. 內核模塊
- 16. 如何獲取內部IP地址?
- 17. 如何從內存地址獲取值?
- 18. 在solaris內核模塊中獲取進程ID和父進程
- 19. 內核模塊獲取網絡抖動和帶寬?
- 20. 如何獲得Linux內核模塊內的電池電量?
- 21. 如何在內核中分配16K連續內存並獲取物理地址?
- 22. 內核中的地址
- 23. 截取voip流的內核模塊
- 24. 從ARP條目(Linux內核)獲取給定IP的MAC地址
- 25. 在運行時獲取Linux內核函數的結束地址
- 26. 如何獲得Google Compute Engine(GCE)內核上的AUFS內核模塊?
- 27. 內核模塊如何連接到正在運行的內核?
- 28. Python:如何獲取模塊內部模塊的引用?
- 29. 如何從lat和lng獲取地址?
- 30. 內核模塊addr2line
你應該提供至少一個抽象或除鏈接信息的摘要。 –
http://www.kernelmode.info/forum/viewtopic.php?f=10&t=405&start=0 – Xearinox
+1這太好了!沒問題。 –