未公開的函數(導出未文檔化)是已經導出了,但是不能直接使用。
使用方法:
1。在驅動層使用MmGetSystemRoutineAddress加函數名去獲取函數的地址
2。在應用層使用Loadlibrary和GetProcessAddress(事先當然要先定義好原型)
未導出函數的使用比較麻煩,一般要先獲取那個函數所在模塊的基地址,然後再通過特徵碼去得到函數地址。或者在某個函數內部進行特徵碼的搜索。這個方法針對不同的函數或是結構不止一種方法,像SSDT SHADOW。
使用方法:
1。在驅動層使用MmGetSystemRoutineAddress加函數名去獲取函數的地址
2。在應用層使用Loadlibrary和GetProcessAddress(事先當然要先定義好原型)
未導出函數的使用比較麻煩,一般要先獲取那個函數所在模塊的基地址,然後再通過特徵碼去得到函數地址。或者在某個函數內部進行特徵碼的搜索。這個方法針對不同的函數或是結構不止一種方法,像SSDT SHADOW。
