windows – 如何获取内核模块nt和win32k的地址?

Windows 2020-09-13
我需要知道加载nt和win32k的基地址.我可以通过在启用内核调试的情况下启动系统来查找此信息,启动内核调试会话,并运行命令lm以获取已加载模块的列表.

我想要做的是以编程方式确定加载这两个模块的位置,而无需启动到调试模式和使用内核调试器.我需要基本地址来解析Windows事件跟踪日志文件中的系统调用.

我正在使用的系统正在运行Windows Server 2008 R2.

加载的内核模块和基址(包括ntoskrnl)的列表存储在PsLoadedModulesList符号指向的列表中.
或者使用ZwQuerySysteminformation(SystemModuleinformation)代替.

有关详细信息,请参阅http://alter.org.ua/docs/nt_kernel/procaddr/

相关文章

Windows注册表操作基础代码
Windows注册表操作基础代码 Windows下对注册表进行操作使用的...
黑客常用WinAPI函数整理
黑客常用WinAPI函数整理之前的博客写了很多关于Windows编程的...
一个简单的Windows Socket可复用框架
一个简单的Windows Socket可复用框架说起网络编程,无非是建...
Windows文件操作基础代码
Windows文件操作基础代码 Windows下对文件进行操作使用的一段...
Winpcap基础代码
Winpcap基础代码 使用Winpcap进行网络数据的截获和发送都需要...
使用vbs脚本进行批量编码转换
使用vbs脚本进行批量编码转换 最近需要使用SourceInsight查看...