Re: !poolfind Driv 命令是怎么走的,得出的地址+30就是driverobject了?

Windows内核调试

!poolfind Driv 命令是怎么走的,得出的地址+30就是driverobject了?

hellcode 2009-12-16, 20:17 下午
!poolfind Driv 查找内存池的东东,这里面有tag标志?
得出的地址+0x30这30大小是公开的吗?(XP环境)


另外哪里有介绍查找特定tag内存块的资料。这块内存是怎么组织的

Re: !poolfind Driv 命令是怎么走的,得出的地址+30就是driverobject了?

Sysnap2006 2009-12-21, 21:34 下午
当初也是乱猜的。其实0X30不是固定的,看结构前面还有哪些XX、、

Powered by Community Server Powered by CnForums.Net