Re: uf命令的非预期输出

Windows内核调试

uf命令的非预期输出

Abstr 2016-02-25, 11:27 上午
虚拟机内核调试
kd> uf nt!KiTrap03
nt!Kei386EoiHelper:
8405cc28 fa              cli
8405cc29 f6457202        test    byte ptr [ebp+72h],2
8405cc2d 7506            jne     nt!Kei386EoiHelper+0xd (8405cc35)
...

nt!KiTrap03:
8405d5f0 6a00            push    0
8405d5f2 66c74424020000  mov     word ptr [esp+2],0
8405d5f9 55              push    ebp
8405d5fa 53              push    ebx
8405d5fb 56              push    esi
8405d5fc 57              push    edi
8405d5fd 0fa0            push    fs
8405d5ff bb30000000      mov     ebx,30h
8405d604 668ee3          mov     fs,bx
8405d607 648b1d00000000  mov     ebx,dword ptr fs:[0]
...
使用uf命令后没有直接展示nt!KiTrap03的反汇编,反而展示了前面一串函数。
请问这是为什么?
 

Re: uf命令的非预期输出

悬崖遛马 2016-02-25, 15:37 下午
前面那部分应该是可变部分,针对不同软硬件环境而不同, 后面是公共部分。猜的,不负责任哦

用户态调用的一些api的时候,很多会事先进入一个不返回的stub函数,再跳转进入目标函数
不知道是不是一个道理。

请张老师解答吧

Powered by Community Server Powered by CnForums.Net