当前位置: 文江博客话题详情

如何使用ntoskrnl.exe的基地址计算函数的地址

发布于 2025-01-16 18:43:54 字数 337 浏览 1 评论 0原文

这是我到目前为止在测试机器上确定的:

  1. ntoskrnl.exe 的基地址是 0xFFFFF802C8803000
  2. 使用 IDA 图像库的地址是 0x0000000140000000
  3. 使用 IDA 函数的地址是 0x00000001401422D0
  4. 偏移量(3 减 2)确定为0x1422d0
  5. 函数地址被确定为 0xFFFFF802C8803000 + 0x1422d0 = 0xfffff802c89452d0
  6. Windbg 说地址是 0xfffff802c89454d0

上述计算正确吗?请告诉我我做错了什么?

原文

This is what I have determined thus far on a test machine:

  1. base address of ntoskrnl.exe is 0xFFFFF802C8803000
  2. using IDA the address of the imagebase is 0x0000000140000000
  3. using IDA the address of the function is 0x00000001401422D0
  4. the offset (3 subtract 2) is determined to be 0x1422d0
  5. the function address is determined to be 0xFFFFF802C8803000 + 0x1422d0 = 0xfffff802c89452d0
  6. Windbg says the address is 0xfffff802c89454d0

Is the above calculations correct ? Please tell me what I'm doing wrong ?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

久隐师 2025-01-23 18:43:54

感谢 Neitsa 找到了解决方案。我正在使用两个不同版本的 ntoskrnl.exe,一个版本用于 Windbg,另一个版本用于 IDA Free。

Found the solution thanks to Neitsa. I was working with two different versions of ntoskrnl.exe one version for Windbg and the other version with IDA Free.

回复 原文
~没有更多了~

关于作者

咽泪装欢

暂无简介

文章
评论
25 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

明月

文章 0 评论 0

守不住的情

文章 0 评论 0

悲念泪

文章 0 评论 0

墨洒年华

文章 0 评论 0

花桑

文章 0 评论 0

浅听莫相离

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文