Как выяснить название функции по syscall number ?

Доброго времени суток!

В библиотеке user32.dll был обнаружен примерно такой код (внутри функции SetWindowsHookEx) :

Win7:

Код (Text):

1. .text:77D220F6 sub_77D220F6    proc near               ; CODE XREF: sub_77D220BA+2Ep
2. .text:77D220F6                 mov     eax, 1249h
3. .text:77D220FB                 mov     edx, 7FFE0300h
4. .text:77D22100                 call    dword ptr [edx]
5. .text:77D22102                 retn    18h
6. .text:77D22102 sub_77D220F6    endp

Win2k SP3:

Код (Text):

1. .text:77E247A8                 mov     eax, 1212h
2. .text:77E247AD                 lea     edx, [esp+4]
3. .text:77E247B1                 int     2Eh             ; DOS 2+ internal - EXECUTE COMMAND
4. .text:77E247B1                                         ; DS:SI -> counted CR-terminated command string
5. .text:77E247B3                 retn    18h

Как выяснить из какой библиотеки вызывается функция с syscall numbers 1249h и 1212h соответственно?

P.S.: Смотрел в Win2k через RKU слепок SDT - но там такого индекса нет.

 

shadow sdt ?

 

onSide
Я тоже так сначала подумал, однако, нет этого индекса там.

 

Как же нет, когда есть

 

TSS

Код (Text):

1. .text:77E247A8                 mov     eax, 1212h

1212h - это индекс искомой функции в Shadow SSDT.
В скриншоте, что я привёл, максимальный индекс это 27Eh (0..638).

Т.е. RKU что-то не отображает, или что?

 

Или что. Вычти из индекса 1000h и получишь свою ф-цию

 

TSS
onSide
=) Respect.