在“Rootkit Arsenal”一书第84页(第3章)中提到:
...,我们可以查看该内容 目标机器的描述符寄存器 使用带有0x100掩码的命令: KD> rM 0x100
以及下面的一段:
请注意,相同的任务可以 通过指定GDTR完成 组件明确:kd> r gdtr ....
我在Win XP上运行Windbg(在VMWare内部)并选择内核调试 - >本地。 我遇到的问题是第一个命令,windbg错误:
LKD> rM 0x100 ^当前调试会话'rM 0x100'
中不支持操作
并在第二个命令中:
LKD> r gdtr ^'r gdtr'中的错误寄存器错误
任何人都可以指导我吗?
答案 0 :(得分:2)
是的,你不能在本地内核调试会话中查看寄存器。 LiveKD可以工作,您也可以通过PCR(!pcr)间接获取地址。
-Scott
答案 1 :(得分:1)
我想我找到了解决方案: 使用两台计算机进行内核调试,而不是本地内核调试。 (我使用VMWare并通过COM端口/命名管道进行调试) 我在想为什么这个设施/功能(本地内核调试)如果没有完成呢?