反汇编ntdll.dll查看NtCreateFile函数的汇编代码问题?

a294447011294447011 2008-10-15 07:18:03

反汇编ntdll.dll查看NtCreateFile函数的汇编代码:
:7C92D682 B825000000 mov eax, 00000025
:7C92D687 BA0003FE7F mov edx, 7FFE0300
:7C92D68C FF12 call dword ptr [edx]
:7C92D68E C22C00 ret 002C
可以看出来,NtCreateFile是调用了地址7FFE0300里的地址.可是在ntdll.dll的反汇编代码里我却找不到地址7FFE0300,更找不到地址7FFE0300里的地址了,着是为什么?
...全文
261 5 打赏 收藏 转发到动态 举报
写回复
用AI写文章
5 条回复
切换为时间正序
请发表友善的回复…
发表回复
fenghuangyuyicon 2009-02-25
  • 打赏
  • 举报
回复
不会,这是ntdll硬编码的
  • 打赏
  • 举报
回复
哦!我将它附加到一个活动进程了,原来的7FFE0300地址有可能被重定位吧?
alloutoflove 2008-10-23
  • 打赏
  • 举报
回复
晕,都说了7FFE0300里存放的DWORD值才是实际的地址-_-
  • 打赏
  • 举报
回复
[Quote=引用 1 楼 alloutoflove 的回复:]
不要在反汇编里找, 在下面的内存数据窗口中用Ctrl+G找, 实际的地址就在你的7FFE0300里放着的DWORD值. 然后再在反汇编里Ctrl+G这个值!
[/Quote]
哦!我用W32Dasm无极版先将ntdll.dll反汇编,然后将它附加到一个活动进程,接下来找到按钮:Goto Address,按按钮后就弹出标题为:"跳转位置 (32 Bit)"的窗口,在偏移地址处添上:7FFE0300,找到如下汇编代码:
7FFE0300 : mov ebp,ebx;
7FFE0302 : xchg eax,edx;
.....
难道着就是ntdll.dll里NtCreateFile函数调用的汇编代码吗?
alloutoflove 2008-10-19
  • 打赏
  • 举报
回复
不要在反汇编里找, 在下面的内存数据窗口中用Ctrl+G找, 实际的地址就在你的7FFE0300里放着的DWORD值. 然后再在反汇编里Ctrl+G这个值!

1,221

社区成员

发帖
与我相关
我的任务
社区描述
C++ Builder Windows SDK/API
社区管理员
  • Windows SDK/API社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧