我需要知道加载nt和win32k的基地址.我可以通过在启用内核调试的情况下启动系统来查找此信息,启动内核调试会话,并运行命令lm以获取已加载模块的列表.
我想要做的是以编程方式确定加载这两个模块的位置,而无需启动到调试模式和使用内核调试器.我需要基本地址来解析Windows事件跟踪日志文件中的系统调用.
我正在使用的系统正在运行Windows Server 2008 R2.
加载的内核模块和基址(包括ntoskrnl)的列表存储在PsLoadedModulesList符号指向的列表中.
或者使用ZwQuerySysteminformation(SystemModuleinformation)代替.
或者使用ZwQuerySysteminformation(SystemModuleinformation)代替.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。