我正在尝试使用LibVMI和Windows 7 32位;为了正确设置,我需要查看EPROCESS结构的前8个字节(库在内存中搜索一个幻数,这应该是它)。
我的Windows-fu不强,所以有谁能告诉我如何转储适当的内存?我正在运行本地内核调试器,我已经达到了“dt nt!_EPROCESS”,但这似乎只是向我展示了结构的格式,而不是实际的内容。
答案 0 :(得分:4)
命令是:
dt nt!_EPROCESS <address>
您应该能够从!process 0 7的输出中获取地址。
答案 1 :(得分:2)
我明白了 - Seva Titov的答案与我所做的相似。我是这样做的:
!process 0 0
给出了一个简短的进程列表;我专门开始使用calc.exe来完成一个简单的小程序,所以我查看了列表然后运行:
!process calc.exe
第一行输出与PROCESS 83f81178一样开始,这是重要的一点。然后我做了:
db 83f81178
向我展示了从该偏移开始的一大块内存,看起来像这样:
83f81178 03 00 26 00 00 00 00 00--80 11 f8 83 80 11 f8 83 ..&............
83f81188 88 11 f8 83 88 11 f8 83--80 23 e2 3e 00 00 00 00 ........#.>....
这就是我所需要的,所以我就到了那里。