Собственно парсил экспортные функции в NtOsKrl.exe модуле (Windows 7 x64) искал "KeServiceDescriptorTable" вот и нашел. После чего отрыл модуль в иде посмотрел экспортные функции и в списке их "KeServiceDescriptorTable" не было да собственно и кол-во функций в иде 2111 у меня насчитало 2184 почему так ?
984259h Плохо считал: Код (Text): Win7 x64 RTM ntoskrnl.exe, md5 = 9e722b768e33d26ad8fa7d642e707443 Number of exported symbols: 2111 Number of exported symbols with unique RVA: 2081 Non-unique symbols: RVA 0x2e4044 MmLockPagableDataSection MmLockPagableImageSection RVA 0x8a130 FsRtlNumberOfRunsInBaseMcb KeReadStateEvent KeReadStateQueue RVA 0x7e184 FsRtlResetBaseMcb KeClearEvent RVA 0x3e0150 RtlUnicodeStringToAnsiSize RtlUnicodeStringToOemSize RtlxUnicodeStringToAnsiSize RtlxUnicodeStringToOemSize RVA 0x448a0 RtlInitAnsiString RtlInitString RVA 0x3e0120 RtlAnsiStringToUnicodeSize RtlOemStringToUnicodeSize RtlxAnsiStringToUnicodeSize RtlxOemStringToUnicodeSize RVA 0x98bd0 IoGetCurrentProcess PsGetCurrentProcess RVA 0x46a720 IoDeleteController IoDeleteDriver RVA 0xbec10 KeGetCurrentThread PsGetCurrentThread RVA 0x68c40 RtlCopyMemory RtlMoveMemory memcpy memmove RVA 0x165fd0 ExRaiseException RtlRaiseException RVA 0x96f00 KeRestoreFloatingPointState KeSaveFloatingPointState RVA 0x4faf0 PoStartNextPowerIrp __misaligned_access RVA 0x3310e8 IoVolumeDeviceToDosName RtlVolumeDeviceToDosName RVA 0xc02d0 _swprintf swprintf RVA 0x173a80 IoCallDriver PoCallDriver RVA 0x32c940 RtlFreeAnsiString RtlFreeUnicodeString RVA 0x10d860 KeReadStateMutant KeReadStateMutex KeReadStateSemaphore RVA 0x646c0 PsGetProcessSectionBaseAddress PsGetThreadWin32Thread RVA 0x103da0 PoCancelDeviceNotify PoRegisterDeviceNotify RVA 0x7b010 KeWaitForMutexObject KeWaitForSingleObject RVA 0x393f1c IoForwardAndCatchIrp IoForwardIrpSynchronously Also, "KeServiceDescriptorTable" not found (Скрипт)
