我正在尝试使用vmware和windbg进行内核调试。我连接了两个操作系统并且所有符号都已成功加载。如果我想在内存中看到我的驱动程序,我该如何反汇编呢? 我尝试过lm命令和lmvm命令
kd> lmvm comint32
start end module name
88da9000 88daf000 comint32 (private pdb symbols) C:\Program Files (x86)\Debugging Tools for Windows (x86)\sym\comint32.pdb\653387D894B4412FA9E30659E58DD47C1\comint32.pdb
Loaded symbol image file: comint32.sys
Image path: \SystemRoot\System32\Drivers\comint32.sys
Image name: comint32.sys
Timestamp: Thu Apr 11 20:10:55 2013 (51677B3F)
CheckSum: 0000CACF
ImageSize: 00006000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
答案 0 :(得分:1)
x comint32!*应该将模块的所有符号及其地址转储到内存中。
然后您可以使用u命令(名称(例如comint32!DriverEntry)或函数地址作为参数)来反汇编到主窗口中,也可以打开反汇编窗口并将名称/地址粘贴到其中并浏览那里的反汇编代码。
有关详细信息,请参阅windbg参考。