我想在Windbg中反汇编Native API的最后几条指令。我该怎么做呢?
例如,我在Windbg中处于内核模式并想要反汇编KiSystemService API的最后几条指令,我该怎么做?
此外,如果有办法查看API的大小,则可以查看最后一条指令。
你好!KiSystemService
给我大约10行汇编语言代码。
u nt!KiSystemService L100
这将显示更多系统服务调度例程的代码。但我的目标是查看最后几条指示。
感谢。
答案 0 :(得分:0)
uf nt!KiSystemService
会尝试反汇编函数。
答案 1 :(得分:0)
.fnent上的将显示其所需的参数的函数大小/否
prolog的大小和函数的偏移开始
如果由于优化而没有函数does not have chunks
你可以简单地开始反汇编(偏移开始+大小 - X)
LKD> .fnent nt!NtCreateProcessEx 调试器函数入口00ca5b70: (805c73ea)nt!NtCreateProcessEx | (805c7476)nt!PsCreateSystemProcess 完全匹配: nt!NtCreateProcessEx =
OffStart:000f03ea ProcSize:0x86 序言:0xc 参数:0n9(0x24字节) 本地:0n7(0x1c字节) 非FPO
{。{1}}上的将由.fnent返回 您可能需要查看UnWind Inforamtion以获取详细信息