- 注册时间
- 2010-5-26
- 最后登录
- 2012-2-16
- 阅读权限
- 1
- 积分
- 25
- 主题
- 3
- 精华
- 0
- 帖子
- 25
|
发表于 2012-1-11 20:21:56
|显示全部楼层
raw input使用函数GetRawInputData()获取数据
进入内核代码为:
XP 环境
75E34C81 > B8 C0110000 mov eax, 11AC
75E34C86 BA 0003FE7F mov edx, 7FFE0300
75E34C8B FF12 call dword ptr [edx]
75E34C8D C2 1400 retn 14
即服务为0x11C0的系统调用
但是:
pBase = KeServiceDescriptorTable->ServiceTableBase;
Address = *( pBase + 0x11AC );
这里通过SSDT得到的并没有这个服务(直接蓝屏了),这大概是因为GetRawInputData不在ntdll.dll中吧.
那么我想了解下,怎么确定GetRawInputData()在内核中的运行地址呢?比较菜的问题,希望哪位大侠指教下 |
|
