摘要:
1.导入函数 (1)如果程序静态连接时,声明函数采用了__declspec(dllimport) 调用Foo时,被翻译成call [_imp_Foo] 其中_imp_Foo是idata节里面的数据,dll的loader会修改这个地址里的数值。 _imp_Foo是FirstTrunk值。 一般情况下,VC引入windows.h会采用这种方式。 (2)如果程序静态连接时,没有采用了__declspec... 阅读全文
posted @ 2009-12-13 23:41
Fan Zhang
阅读(194)
评论(0)
推荐(0)
摘要:
1.lm命令 lm m s* lm lmsm 2.看堆栈调用 kb 3.断点(有符号) bp HelloDDK!DriverEntry 4.断点(无符号) sxe ld HelloDDK 这样会断在nt!DebugService2+0x10的位置。 然后按三次Shift+F11,会跳到nt!IopLoadDriver+0x370 在IopLoadDriver中函数中寻找,会经过nt!... 阅读全文
posted @ 2009-12-13 00:58
Fan Zhang
阅读(511)
评论(0)
推荐(0)
浙公网安备 33010602011771号