8

我需要知道加载 nt 和 win32k 的基地址。我可以通过在启用内核调试的情况下启动系统、启动内核调试会话并运行命令lm来获取已加载模块的列表来查找此信息。

我想要做的是以编程方式确定这两个模块的加载位置,而无需启动到调试模式并使用内核调试器。我需要用于解析 Windows 事件跟踪日志文件中的系统调用的基地址。

我正在使用的系统正在运行 Windows Server 2008 R2。

4

1 回答 1

12

加载的内核模块和基地址(包括)的列表存储在符号ntoskrnl指向的列表中。PsLoadedModuleListZwQuerySystemInformation(SystemModuleInformation)改为使用。

有关详细信息,请参阅http://alter.org.ua/docs/nt_kernel/procaddr/

于 2012-05-21T19:30:02.170 回答