c++ - 如何从 UserMode C++ 获取 ZwQuerySystemInformation 的地址

Question

如何ZwQuerySystemInformation从用户模式获取内核中函数的地址？

谢谢！

Answer 1

请改用 NtQuerySystemInformation。您必须使用 LoadLibrary() 来获取 ntdll.dll 的句柄，并使用 GetProcAddress() 来获取地址。请注意 ZwQuerySystemInformation 已从 Windows 8 中删除，这对 NtQuerySystemInformation 有什么影响尚不清楚。显然，您需要彻底测试。