描述:
背景:现在已知在某系统内存处会存储以下信息,其signature为 $PnP,从以下可得到对应函数的16 bit的 real /protected mode seg & offset的值。现在我已经能够在内存中找到$PnP,和函数地址的seg & offset值,
1)现在如果我想在WDM 驱动中调用该函数,也就是说我如何将16 bit的seg & offset 值转化为wdm 中32位的函数地址
2)大家还有什么好的方法,在WDM中搜索内存空间指定的内容?我是通过驱动将指定的物理地址映射到用户内存空间,让后再此空间查找
Field Offset Length Value
Signature 00h 4 BYTES $PnP (ASCII)
Version 04h BYTE 10h
Length 05h BYTE 21h
Controlfield 06h WORD Varies
Checksum 08h BYTE Varies
Eventaddress 09h DWORD Varies
Real Mode 16-bit offset to entry point 0Dh WORD Varies
Real Mode 16-bit code segment address 0Fh WORD Varies
16BitProtectedModeoffset to entry point 11h WORD Varies
16BitProtectedModecode segment base address 13h DWORD Varies