¿Cómo obtengo la dirección de los módulos kernel nt y win32k?

Necesito saber las direcciones base donde se cargan nt y win32k. Puedo encontrar esta información arrancando el sistema con kernel debugging habilitado, inicio una sesión de depuración del núcleo y ejecuto el comando lm para obtener una lista de los módulos cargados.¿Cómo obtengo la dirección de los módulos kernel nt y win32k?

Lo que quiero hacer es determinar programáticamente dónde se cargan estos dos módulos sin iniciar el modo de depuración y usar el depurador del kernel. Necesito las direcciones base para resolver syscalls en un seguimiento de eventos para el archivo de registro de Windows.

El sistema en el que estoy trabajando ejecuta Windows Server 2008 R2.

Fuente

2012-05-21 canzar

La lista de módulos de núcleo cargados y direcciones base (incluido ntoskrnl) se almacena en la lista señalada por el símbolo PsLoadedModulesList. O use ZwQuerySystemInformation(SystemModuleInformation) en su lugar.

encontrará información detallada en http://alter.org.ua/docs/nt_kernel/procaddr/

Fuente

2012-05-21 19:30:02 Xearinox

Usted debe proporcionar al menos un resumen o un resumen de la información, además de la relación. –

http://www.kernelmode.info/forum/viewtopic.php?f=10&t=405&start=0 – Xearinox

+1 ¡¡Eso es mucho mejor !! –

¿Cómo obtengo la dirección de los módulos kernel nt y win32k?

Respuesta

Cuestiones relacionadas