约有 3 项符合查询结果, 以下是第 1 - 1项。
费时 < 1 秒。
谢谢,张老师,想不到您又回复了.对 我查看的是_IMAGE_IMPORT_DESCRIPTOR这个结构的 FirstThunk 指向的数组结构才叫 IAT.我在实体机与虚拟机中都试了,在内核加载之初,_IMAGE_IMPORT_DESCRIPTOR是有内容的,但进入windows之后,就没有了.我查了位置发现 _IMAGE_IMPORT_DESCRIPTOR 在一个INIT的Section这个Section 是有 MEM_DISCARDABLE 属性我猜应该是这段的内容在使用完之后,可以放弃,因此这个区域的内容被清0了.
Posted in WinDbg
by
wxl802
on 2013-05-11
张老师,你这个是在XP进入桌面后,断下,显示的内容吗?我再去试试.
Posted in WinDbg
by
wxl802
on 2013-05-11
张老师好.我想定位内核IAT表的位置.发现 IAT表的位置都是0.(在XP启动,进入桌面时)我的步骤如下:0: kd> lm vm ntstart end module name804d8000 80700000 nt (pdb symbols) e:\03cracker\01tools\27_win7symbols\ntkrnlmp.pdb\FB6BF595C0344379B369466C1ED25FCB2\ntkrnlmp.pdb ...
Posted in WinDbg
by
wxl802
on 2013-05-10