Возьми адрес из SDT

ну допустим взял и что дальше ? нужен индекс функции. взять его можно только из ntdll ( *(PULONG)(1+(PUCHAR)ZwQueryVirtualMemory)). дальше нужно ntdll открыть, создать секцию, отмапить, найти экспорт. ну или найти

Автор: x64
Дата: 02.07.12

уже отмапленную ntdll. здесь кстати вместо

достаточно открыть ntdll.dll, создать на нём секцию вызовом ZwCreateSection()

можно чуть проще — ZwOpenSection(&hSection, SECTION_QUERY, &oa(L"\\knowndlls\\ntdll.dll"))... как то сликом сложно. кстати ZwQueryVirtualMemory уже экспортируется начиная с vista, фактически нужно решение только для xp/win2003