我想使用windbg.Windbg成功连接到vmware来获取SSDT和Shadow SSDT的地址。我必须使用它来获取这些表的地址吗?
答案 0 :(得分:2)
x命令显示符合指定模式x [Options] Module!Symbol的所有上下文中的符号。
lkd> x nt!*keservicedescriptortable*
82da2980 nt!KeServiceDescriptorTableShadow = <no type information>
82da2940 nt!KeServiceDescriptorTable = <no type information>
lkd> dps 82da2980
82da2980 82c9f634 nt!KiServiceTable
82da2984 00000000
82da2988 00000191
82da298c 82c9fc7c nt!KiArgumentTable
82da2990 95b66000 win32k!W32pServiceTable
82da2994 00000000
82da2998 00000339
82da299c 95b6702c win32k!W32pArgumentTable