Получение адреса API-функции

Тема в разделе "WASM.NT.KERNEL", создана пользователем SpiritFire, 18 дек 2008.

  1. SpiritFire

    SpiritFire New Member

    Публикаций:
    0
    Регистрация:
    21 янв 2008
    Сообщения:
    31
    Подскажите, пожалуйста, есть ли "ядерные" аналоги функции GetProcAddress?
    Посмотрел в IDA, накопал про юзермодную недокумментированную LdtGetProcedureAddress, но,
    я так подозреваю, что из режима ядра ее использовать нельзя? Или я ошибаюсь?

    P.S. Вариант
    Код (Text):
    1. void* addr = (void*)ApiFunction;
    юзать не хотелось бы... Как-то оно не настолько надежно.
     
    SpiritFire, 18 дек 2008
    #1
  2. censored

    censored New Member

    Публикаций:
    0
    Регистрация:
    5 июл 2005
    Сообщения:
    1.615
    Адрес:
    деревня "Анонимные Прокси"
    Код (Text):
    1. NTKERNELAPI
    2. PVOID
    3.   MmGetSystemRoutineAddress(
    4.     IN PUNICODE_STRING  SystemRoutineName
    5.     );
     
    censored, 18 дек 2008
    #2
  3. wasm_test

    wasm_test wasm test user

    Публикаций:
    0
    Регистрация:
    24 ноя 2006
    Сообщения:
    5.582
    censored
    Ну, она тебе не позволит копаться в произвольном образе.

    http://code.google.com/p/ngdbg/source/browse/trunk/win32k.cpp#48 - RtlFindImageProcedureByNameOrPointer + хидер мой http://code.google.com/p/ngdbg/source/browse/trunk/winnt.h
     
    wasm_test, 18 дек 2008
    #3
  4. SpiritFire

    SpiritFire New Member

    Публикаций:
    0
    Регистрация:
    21 янв 2008
    Сообщения:
    31
    Ого))) Спасибо, буду ковыряться!
     
    SpiritFire, 19 дек 2008
    #4