有一个名为KeTickCount的符号可以在32位工作,但是当我在64位转储(Windows 2008)中应用它时,它不再起作用了.窗户改变了价值吗?
我能做的唯一方法是使用".time"来获取当前的正常运行时间并将其乘以ticksPerSecond,这很麻烦且不准确.
windows kernel dump
dump ×1
kernel ×1
windows ×1