如何恢复全部或指定SSDT in VB？

Posted 2023-04-30

rt

ＶＢ做起来复杂啊～用驱动做会轻松得多．况且只用ＶＢ的话会遇到很大平台兼容性问题，关键是使用未公开的ＡＰＩ导致的．
我只说思路：
１：先把ntoskrnl.exe印射到ring3内存空间，进行ＰＥ文件的分析，下面以NtAccessCheck为例子了．分析ＩＡＴ可以获得NtAccessCheck相对偏移量。
2：载入Ntdll.dll，用GetProcAddress取得NtAccessCheck的地址，然后从这个地址上偏移几字节（不同的windows，就会不同)，可以确的SSDT序号。
3：用ZwQuerySystemInformation查询内核的基地址，因为 SSDT是导出的，用ZwSystemDebugControl可以读取到SSDT的内容，恢复还不简单吗？直接用刚才获得的相对偏移加上内核基地址回写的SSDT中就行了。

步骤就那么多了，当然实现起来会更复杂，我有VC的例子。需要的M我。 参考技术A 你是想做SSDT Hook吗？我倒是不推荐在vb里做··因为C的内联汇编提供了很大的方便

vb如何判断当天是不是是指定日期

比如我一开始读取当天日期
DTPicker1.Value = Date
然后我怎么判断这个日期是不是2015年6月1日？

参考技术A Dim ThisADay As Date '声明一个日期类型变量
Dim MyToDay As Date '声明一个日期类型变量

ThisADay = #3/10/2015# '将一个指定的日期赋予一个变量
MyToDay = Now '将计算机日期赋予一个变量
MyToDay = Format(MyToDay, "YYYY/MM/DD") '将日期变量设置成指定的格式

If MyToDay = ThisADay Then
MsgBox "相同"
Else
MsgBox "不同"
End If本回答被提问者采纳