Получение адреса API-функции

Discussion in 'WASM.NT.KERNEL' started by SpiritFire, Dec 18, 2008.

  1. SpiritFire

    SpiritFire New Member

    Blog Posts:
    0
    Joined:
    Jan 21, 2008
    Messages:
    31
    Подскажите, пожалуйста, есть ли "ядерные" аналоги функции GetProcAddress?
    Посмотрел в IDA, накопал про юзермодную недокумментированную LdtGetProcedureAddress, но,
    я так подозреваю, что из режима ядра ее использовать нельзя? Или я ошибаюсь?

    P.S. Вариант
    Code (Text):
    1. void* addr = (void*)ApiFunction;
    юзать не хотелось бы... Как-то оно не настолько надежно.
     
    SpiritFire, Dec 18, 2008
    #1
  2. censored

    censored New Member

    Blog Posts:
    0
    Joined:
    Jul 5, 2005
    Messages:
    1,615
    Location:
    деревня "Анонимные Прокси"
    Code (Text):
    1. NTKERNELAPI
    2. PVOID
    3.   MmGetSystemRoutineAddress(
    4.     IN PUNICODE_STRING  SystemRoutineName
    5.     );
     
    censored, Dec 18, 2008
    #2
  3. wasm_test

    wasm_test wasm test user

    Blog Posts:
    0
    Joined:
    Nov 24, 2006
    Messages:
    5,582
    censored
    Ну, она тебе не позволит копаться в произвольном образе.

    http://code.google.com/p/ngdbg/source/browse/trunk/win32k.cpp#48 - RtlFindImageProcedureByNameOrPointer + хидер мой http://code.google.com/p/ngdbg/source/browse/trunk/winnt.h
     
    wasm_test, Dec 18, 2008
    #3
  4. SpiritFire

    SpiritFire New Member

    Blog Posts:
    0
    Joined:
    Jan 21, 2008
    Messages:
    31
    Ого))) Спасибо, буду ковыряться!
     
    SpiritFire, Dec 19, 2008
    #4