我想反彙編Windbg中Native API的最後幾條指令。我如何去做這件事?如何在Windbg中反彙編Native API的最後幾條指令?
例如,我在Windbg的內核模式中,想要反彙編KiSystemService API的最後幾條指令,我該怎麼做?
此外,如果有方法查看API的大小,可以查看最後的指令。
ü!NT KiSystemService
給了我身邊10行彙編語言代碼。
ü!NT KiSystemService L100
這將告訴我係統服務調度程序的更多的代碼。但我的目標是查看最後幾條指令。
謝謝。
UF!NT KiSystemService
將嘗試拆卸只是功能。
在x86 .fnent將顯示功能尺寸/沒有參數沒有它需要的/沒有當地人的 大小序言和功能 偏移開始如果沒有功能does not have chunks由於優化) 你可以簡單地開始在解體(偏移開始+大小 - X)
LKD> .fnent NT NtCreateProcessEx 調試函數入口00ca5b70爲:! (805c73ea)NT NtCreateProcessEx | (805c7476)NT PsCreateSystemProcess 準確匹配:! NT NtCreateProcessEx =
OffStart:000f03ea ProcSize:0x86可以 序章:位於0xC PARAMS:0n9(0X24字節) 當地人:0n7(爲0x1C字節) 非FPO
上x64 FPO_DATA is not available instead IMAGE_FUNCTIOn_ENTRY
將.fnent返回 你可能需要看放鬆Inforamtion瞭解詳細內容