получить базу ядра через KPCR

собственно, вопрос простой...
как получить базу ntoskrnl, используя только fs:[0]

ясно что надо получить какойто адрес из области ядра и прошагать к MZ...
IdleThread в висте (по крайней мере в СП1) не входит в ядро;
KdVersionBlock отсутствует в 2к;
а мне необходима совместимость с 2к --- виста сп1

сижу вот методом научного тыка ищу подходящий указатель... может кто-то подскажет?

 

Там нет откуда выжать. Я бы взял из системной таблицы какой-либо указатель на ntos(например IDT).

 

fs:[34h] (KPCR::KdVersionBlock) и крутить вниз страницами, проверяя попутно MmIsAddressValid (могут попасться выгруженные секции) до MZ/PE-загловка.

 

а первый пост прочитали?

решил проблему через sidt -> int40. тему можно закрывать.

 

И что ж там находится по 40h?

 

Может быть тогда, тупо, заюзать ZwQuerySystemInformation? Зато совместимость будет и с последующими версиями...

 

а если он перехвачен?

 

хм... не думаю что есть какойто смысл перехватывать, к примеру, инт40. поправьте меня если я ошибаюсь.