那些遇到过的问题

使用windbg倾销EPROCESS

Joh*_*ohn 4 windows windbg windows-7

我正在尝试使用LibVMI和32位Windows 7;为了正确地进行设置,我需要查看EPROCESS结构的前8个字节(该库在内存中搜索一个幻数,应该就是这个数字)。

我的Windows-fu不强壮,所以谁能告诉我如何转储适当的内存?我正在运行本地内核调试器,并且已经达到“ dt nt!_EPROCESS”的位置,但这似乎只是向我展示了结构的格式,而不是结构中的实际内容。

sev*_*tov 5

该命令是: 

dt nt!_EPROCESS <address>
Run Code Online (Sandbox Code Playgroud)

您应该能够从的输出获取地址!process 0 7

归档时间:

查看次数:

5933 次

最近记录:

13 年,7 月 前
相关归档
什么是`cmd/s`? 29
新的Rails应用程序"193:%1不是有效的Win32应用程序"错误 15
如何衡量Windows上的内存带宽利用率? 12
关于本机C++开发的现代书籍 12
运行NDSolve时内存耗尽 10
我可以在shell模式下为Emacs使用PowerShell吗? 9
如何使用cmd列出Windows 7中的CU​​DA设备? 5
通过Windows中的命令行工具合并两个png? 3
无法在Windows 7 64位上启用CURL - WAMP - PHP 5.3.13 Apache 2.2.22 3
无法设置4字节硬件断点Windbg 3
难疑归档
__str__和__repr__之间的区别? 2545
运算符重载的基本规则和习惯用法是什么? 2074
将字节转换为字符串? 1968
npm install的--save选项是什么? 1779
如何在Bash中将变量设置为命令的输出? 1513
如何将堆栈跟踪转换为字符串? 1435
Node.js module.exports的目的是什么,你如何使用它? 1397
vim"用sudo写"技巧如何工作? 1347
为什么不从List <T>继承? 1299
有条件地申请课程的最佳方式是什么? 1172