约有 5 项符合查询结果, 以下是第 1 - 1项。
费时 < 1 秒。
没注意distorm还有这功能。
flow control instructions在哪里设置呢?distorm_decode没有设置的选项啊, distorm_decompose函数没有用过,楼上的兄弟有用过吗?
Posted in WinDbg
by
vitamin
on 2011-02-23
首先用windbg调试一个程序,然后选择菜单debug->Event Filters
在弹出的对话框中选择Loadmodule那栏,并且将Execution选为Enable关闭windbg,重启调试即可
Posted in Windows内核调试
by
vitamin
on 2011-02-23
因为win32k.sy并不是每个进程空间都可以访问的,楼主可以尝试一下在system进程db win32k.sy模块的数据,会发现不能访问。
一般的做法是attach到csrss进程中再进行读写hook
Posted in Windows内核调试
by
vitamin
on 2011-02-23
使用uf命令将一个函数的反汇编代码都给列出来,即便代码不连续也可以列出来,想问一下uf命令是如何做到的。
比如:
0: kd> uf KeInitializeApcnt!KeInitializeApc:804e6c69 8bff mov edi,edi804e6c6b 55 push ebp804e6c6c ...
Posted in WinDbg
by
vitamin
on 2011-02-23
请教:看到网上介绍说内存访问异常对应的中断处理时idt0xd,自己手工写了一段内存异常访问的程序,然后用windbg对idt0xd下断点,为什么没有断下来?如果内存访问异常对应的中断处理不是idt0xd,那又是哪一号中断呢?
Posted in Windows内核调试
by
vitamin
on 2010-09-17