我一直在阅读第327页第11章的“内存取证的艺术”,他们添加了Windbg dt(_TCP_ENDPOINT)
The Art Of Memory Forensics - _TCP_ENDPOINT
我一直在尝试使用Windbg获得相同的结果,但我一直收到相同的错误:
dt(_TCP_ENDPOINT)
Symbol _TCP_ENDPOINT not found.
即使我加载了tcpip.sys符号文件
1: kd> lml
start end module name
.......
fffff805`3bfc0000 fffff805`3c2a9000 tcpip (pdb symbols) C:\ProgramData\Dbg\sym\tcpip.pdb\4EF7BCB071F28E1DAAAA937D59B39D121\tcpip.pdb
在查看其他内核结构时,我没有得到这种错误,
1: kd> dt(_EPROCESS)
ntdll!_EPROCESS
+0x000 Pcb : _KPROCESS
+0x2e0 ProcessLock : _EX_PUSH_LOCK
......
我在做什么错了?