Где можно посмотреть, или вообще каким образом узнать индексы вызовов теневой таблицы? Они ведь тоже меняются от версии к версии винды?
Открыл в IDA, потом File - Load File - PDB file Он пару минут подгружал... То ли я сделал, если да, то где посмотреть номера??
Нашел смещение в файле, по которому располагается известный мне вызов, потом перешел по тому адресу в ИДе.. Больше не знаю что делать 0_о
Нашли функцию из шадоу-таблицы, выбрали в иде Jump to xref to operand... Перешли по адресу. Скроллите на начало массива - символ называется _W32pServiceTable (либо можете сам символ найти в окне Names). Затем выделяете всю таблицу, преобразовываете в массив (Array) и в окне создания массива указываете http://s57.radikal.ru/i156/1001/7e/7d52a45298bd.jpg Получится что-то вроде .data:BF99AA00 _W32pServiceTable dd offset _NtGdiAbortDoc@4; 0 .data:BF99AA00 dd offset _NtGdiAbortPath@4; 1 ; NtGdiFONTOBJ_pifi(x) .data:BF99AA00 dd offset _NtGdiAddFontResourceW@24; 2 .data:BF99AA00 dd offset _NtGdiAddRemoteFontToDC@16; 3 .data:BF99AA00 dd offset _NtGdiAddFontMemResourceEx@20; 4 .data:BF99AA00 dd offset _NtGdiRemoveMergeFont@8; 5 .data:BF99AA00 dd offset _NtGdiAddRemoteMMInstanceToDC@12; 6 .data:BF99AA00 dd offset _NtGdiAlphaBlend@48; 7 .data:BF99AA00 dd offset _NtGdiAngleArc@24; 8 .data:BF99AA00 dd offset _NtGdiAnyLinkedFonts@0; 9 .data:BF99AA00 dd offset _NtGdiFontIsLinked@4; 10 .data:BF99AA00 dd offset _NtGdiArcInternal@40; 11 .data:BF99AA00 dd offset _NtGdiBeginPath@4; 12 .data:BF99AA00 dd offset _NtGdiBitBlt@44; 13 .data:BF99AA00 dd offset _NtGdiCancelDC@4; 14
видимо что-то с символами не так (( В окне Names не могу найти нужного значения _W32pServiceTable Проблема решена, на этой ветке есть ссылки на таблицы с полученными массивами, с 2000 до 7.... http://rootkits.su/viewprintable.php?id=40 ПС: хотелось бы разобраться, почему с символами не получилось? ИДА5, File - Load File - PDB file - он без запросов подгружает символы.. (вроде их ставил давным давно)..
видимо что-то с символами не так (( В окне Names не могу найти нужного значения _W32pServiceTable Проблема решена, на этой ветке есть ссылки на таблицы с полученными массивами, с 2000 до 7.... http://rootkits.su/viewprintable.php?id=40 ПС: хотелось бы разобраться, почему с символами не получилось? ИДА5, File - Load File - PDB file - он без запросов подгружает символы.. (вроде их ставил давным давно)..
Попробуй скачать символы вручную через symchk из комплекта Debugging tools for Windows, выдрать из подкаталога symbols\win32k.pdb\ХЭШ\win32k.pdb файлик и поместить в один каталог вместе с .sys и потом уже подгрузить в IDA.
