Как получить адрес модулей ядра nt и win32k?

Мне нужно знать базовые адреса, по которым загружаются nt и win32k. Я могу узнать эту информацию, загрузив систему с включенной отладкой ядра, запустив сеанс отладки ядра и выполнив команду lm, чтобы получить список загруженных модулей.

Что я хочу сделать, так это программно определить, где загружаются эти два модуля, не загружаясь в режим отладки и не используя отладчик ядра. Мне нужны базовые адреса для разрешения системных вызовов в файле журнала Event Tracing for Windows.

Система, над которой я работаю, работает под управлением Windows Server 2008 R2.


windows windows-kernel windbg windows-server-2008 etw
person canzar    schedule 21.05.2012    source источник
comment
nirsoft.net/utils/driverview.html   -  person Lewis Kelsey    schedule 14.03.2021

Ответы (1)


arrow_upward
12
arrow_downward

Список загруженных модулей ядра и базовых адресов (включая ntoskrnl) хранится в списке, на который указывает символ PsLoadedModuleList. Или используйте ZwQuerySystemInformation(SystemModuleInformation) вместо этого.

Подробную информацию см. на http://alter.org.ua/docs/nt_kernel/procaddr/< /а>

person Xearinox    schedule 21.05.2012
comment
Вы должны предоставить хотя бы реферат или краткое изложение информации в дополнение к ссылке. - person Michael Burr; 21.05.2012
comment
Превосходно. Спасибо за ссылку. Это отличное решение, потому что оно полезно как для режима ядра, так и для пользовательского режима. Изучение вашего ответа также привело меня к двум другим вызовам API, EnumDeviceDrivers и GetDeviceDriverBaseName, которые выглядят так, как будто они выполняют одно и то же. - person canzar; 24.05.2012