摘要:
编写一个test.exe,在这个进程的上下文中,内核断住。 kd> !process 0 1 test.exe PROCESS 83c74d60 SessionId: 0 Cid: 0360 Peb: 7ffdf000 ParentCid: 035c DirBase: 1436000... 阅读全文
posted @ 2010-03-25 19:29
Fan Zhang
阅读(531)
评论(0)
推荐(0)
摘要:
CR3为PDE表的指针(物理地址),对于不同的进程CR3数值是不同的,但对应的虚拟地址恒为C0300000(在XP下是C0600000)。 实验:查看0x80000000虚拟地址所对应的物理地址。 查看 kd> dd /p cr3+800 (通过物理内存查看) 或者 kd> dd c0300000+800(通过对应的虚拟内存查看) c0300800 000001e3 00... 阅读全文
posted @ 2010-03-25 11:43
Fan Zhang
阅读(773)
评论(0)
推荐(0)
摘要:
方法一: kd>rM 0x80(注意大消息!) 方法二: kd>? cr3 阅读全文
posted @ 2010-03-25 10:48
Fan Zhang
阅读(483)
评论(0)
推荐(0)
浙公网安备 33010602011771号