3
我正在試驗LibVMI和Windows 7 32位;爲了正確設置,我需要查看EPROCESS結構的前8個字節(庫搜索內存中的幻數,這應該是它)。傾銷EPROCESS與windbg
我的Windows-fu功能不強,所以任何人都可以告訴我如何轉儲適當的內存位?我正在運行本地內核調試程序,並且儘可能使用「dt nt!_EPROCESS」,但它似乎只顯示了結構的格式,而不是實際內容。
A
回答
3
的命令是:
dt nt!_EPROCESS <address>
您應該能夠從!process 0 7的輸出獲取地址。
1
我明白了 - 塞瓦蒂托夫的答案與我所做的相似。以下是我做的:
!process 0 0
這給我的正在運行的進程的短名單;我曾專門開始的calc.exe有一個簡單的小程序去,所以我看了看錶,然後跑:
!process calc.exe
輸出的第一行開始像PROCESS 83f81178這是重要的一點。然後我做:
db 83f81178
這表明我的內存塊起始於該偏移,看起來像這樣:
83f81178 03 00 26 00 00 00 00 00--80 11 f8 83 80 11 f8 83 ..&............ 83f81188 88 11 f8 83 88 11 f8 83--80 23 e2 3e 00 00 00 00 ........#.>....
這就是我需要的東西,所以我停止那裏。
相關問題
- 1. 在Windbg和填充中傾銷值
- 2. 使用Windbg傾倒數組
- 3. Windbg撤銷zap
- 4. 傾銷數組
- 5. 傾銷對象
- 6. 傾銷序列與象夫seqdumper
- 7. 傾銷indexedDB數據
- 8. Java - 傾銷到XML
- 9. Perl數組傾銷
- 10. 在mysql中傾銷DB
- 11. Parse.com傾聽註銷事件
- 12. pyyaml:傾銷沒有標籤
- 13. Scrapy ::傾銷JSON文件
- 14. Django JSONField傾銷/加載
- 15. 與MySQL AWS S3誤差在Drupal傾銷進口7
- 16. 在cPanel中傾銷mysql數據庫與cron
- 17. 與iPad傾斜
- 18. PostgreSQL的psql的命令傾銷錯誤
- 19. 需要幫助傾銷私有API
- 20. cPickle.dump始終在文件末尾傾銷
- 21. 傾銷泡菜不適用於rb +
- 22. foreach循環只傾銷一個變量
- 23. C# - 傾銷名單的下拉列表
- 24. 配置單元查詢傾銷問題
- 25. 傾銷Windows Mobile設備圖像
- 26. mysqldump是不是傾銷任何表
- 27. Android手機不傾銷堆棧跟蹤
- 28. 在Windows上傾銷VTable偏移量
- 29. 紅寶石IRB - 傾銷所有類
- 30. Symfony2 - Assetic不傾銷任何資產