好的,所以我有ntoskrnl.exe的基地址,并且想要定位既不导出也不导入的内部函数的地址。在内核模式下如何做到这一点?
您可以对函数进行模式扫描,或者它有一个静态RVA。有很多方法,但最简单的方法是创建一个签名(例如IDAPro中的SigMaker(并在模块中扫描它。
对于导出的例程,这要容易得多:
https://learn.microsoft.com/en-us/windows-hardware/drivers/ddi/wdm/nf-wdm-mmgetsystemroutineaddress
对于特定模块,您可以手动遍历EAT(导出地址表(。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium