[求助]WinDbg远程内核调试时，怎么查看用户模式的内存地址？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
gog 雪币： 161 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 70 粉丝 0 关注私信	gog 2 楼先切换进程空间到你用户态地址所在空间 .process /i /p _eprocess 2010-12-27 09:33 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 3 楼非常感谢，刚学习使用WinDbg进行内核调试，有些东西还是不懂，再问一下，怎么确定您给的“.process /i /p _eprocess”中的_eprocess？？？ 2010-12-27 09:44 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 4 楼该驱动前面调用了KeStackAttachProcess，利用KeStackAttachProcess中的“_kprocess”能确定吗？ 2010-12-27 09:46 0
gog 雪币： 161 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 70 粉丝 0 关注私信	gog 5 楼就是你所说的0x1b16720所属进程的_eprocess啊用!process 0 0 看吧 2010-12-27 10:52 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 6 楼多谢，多谢！ 2010-12-27 11:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
gog 雪币： 161 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 70 粉丝 0 关注私信	gog 2 楼先切换进程空间到你用户态地址所在空间 .process /i /p _eprocess 2010-12-27 09:33 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 3 楼非常感谢，刚学习使用WinDbg进行内核调试，有些东西还是不懂，再问一下，怎么确定您给的“.process /i /p _eprocess”中的_eprocess？？？ 2010-12-27 09:44 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 4 楼该驱动前面调用了KeStackAttachProcess，利用KeStackAttachProcess中的“_kprocess”能确定吗？ 2010-12-27 09:46 0
gog 雪币： 161 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 70 粉丝 0 关注私信	gog 5 楼就是你所说的0x1b16720所属进程的_eprocess啊用!process 0 0 看吧 2010-12-27 10:52 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 6 楼多谢，多谢！ 2010-12-27 11:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

账号登录 验证码登录