代码之家  ›  专栏  ›  技术社区  ›  JbG

如何使用ntoskrnl.exe的基地址计算函数的地址

ida windbg offset hex
  •  0
  • JbG  · 技术社区  · 3 年前

    这是我迄今为止在测试机上确定的:

    1. ntoskrnl.exe的基地址为0xFFFFF802C8803000
    2. 使用IDA时,图像库的地址为0x0000000140000000
    3. 使用IDA,函数的地址为0x00000001401422D0
    4. 偏移量(3减去2)被确定为0x1422d0
    5. 函数地址被确定为0xFFFFF802C8803000+0x1422d0=0xfffff802c89452d0
    6. Windbg说地址是0xfffff802c89454d0

    以上计算正确吗?请告诉我我做错了什么?

    0 回复  |  直到 3 年前
        1
  •  1
  •   JbG    3 年前

    找到了解决方案,这要归功于 Neitsa .我使用了两个不同版本的ntoskrnl.exe,一个版本用于Windbg,另一个版本使用IDA Free。

    推荐文章
    Flegy  ·  PHP/MSSQL字符串到十六进制
    7 年前
    Soumil Deshpande  ·  将十六进制字符串转换为可读输出
    7 年前
    Jahongir Rahmonov  ·  计算文件的校验和
    7 年前
    topcat  ·  如何从strlen返回中减去十六进制,然后添加到十六进制地址?
    7 年前
    DenoDev  ·  C-十六进制输出中缺少0
    7 年前
    Mike -- No longer here  ·  使用系统设置以最少的代码行将原始字节写入串行(linux C)
    7 年前
    Elie Daher  ·  在C中将十六进制转换为uint8\u t++
    7 年前
    antosr7  ·  如何在PostgreSQL中将以:分隔的十六进制ipv6字符串转换为十进制
    7 年前
    e2rabi  ·  如何使用Java屏蔽十六进制int?
    7 年前
    user3780807  ·  c++流负数转换
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号