[求助]怎么找到win32k.sys模块的基地址？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 2 楼切换到csrss.exe里面去就可以了： kd> lmvm win32k start end module name bf800000 bf9c2800 win32k (deferred) Image path: \SystemRoot\System32\win32k.sys Image name: win32k.sys Timestamp: Mon Apr 14 03:29:46 2008 (48025F2A) CheckSum: 001D19A0 ImageSize: 001C2800 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4 kd> db bf800000 bf800000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800020 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800030 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800040 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800050 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800060 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800070 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? kd> !process 0 0 csrss.exe PROCESS 86276020 SessionId: 0 Cid: 0248 Peb: 7ffde000 ParentCid: 0170 DirBase: 0bb40040 ObjectTable: e1010918 HandleCount: 333. Image: csrss.exe kd> .process /i /p 86276020 You need to continue execution (press 'g' <enter>) for the context to be switched. When the debugger breaks in again, you will be in the new process context. kd> g [MUP]: DfscFsctrlStateTransition invoked. [MUP]: Flushing pkt cache...[MUP]: done. Break instruction exception - code 80000003 (first chance) nt!RtlpBreakWithStatusInstruction: 80528bdc cc int 3 kd> db bf800000 bf800000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ.............. bf800010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@....... bf800020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ bf800030 00 00 00 00 00 00 00 00-00 00 00 00 f0 00 00 00 ................ bf800040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th bf800050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno bf800060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS bf800070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$....... 2013-2-6 11:49 0
whypcgames 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	whypcgames 3 楼好久不上，谢谢KiDebug先 2013-4-3 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
KiDebug 雪币： 544 活跃值： (264) 能力值： ( LV12，RANK：210 ) 在线值：发帖 20 回帖 280 粉丝 6 关注私信	KiDebug 4 2 楼切换到csrss.exe里面去就可以了： kd> lmvm win32k start end module name bf800000 bf9c2800 win32k (deferred) Image path: \SystemRoot\System32\win32k.sys Image name: win32k.sys Timestamp: Mon Apr 14 03:29:46 2008 (48025F2A) CheckSum: 001D19A0 ImageSize: 001C2800 Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4 kd> db bf800000 bf800000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800020 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800030 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800040 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800050 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800060 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? bf800070 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? kd> !process 0 0 csrss.exe PROCESS 86276020 SessionId: 0 Cid: 0248 Peb: 7ffde000 ParentCid: 0170 DirBase: 0bb40040 ObjectTable: e1010918 HandleCount: 333. Image: csrss.exe kd> .process /i /p 86276020 You need to continue execution (press 'g' <enter>) for the context to be switched. When the debugger breaks in again, you will be in the new process context. kd> g [MUP]: DfscFsctrlStateTransition invoked. [MUP]: Flushing pkt cache...[MUP]: done. Break instruction exception - code 80000003 (first chance) nt!RtlpBreakWithStatusInstruction: 80528bdc cc int 3 kd> db bf800000 bf800000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ.............. bf800010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@....... bf800020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ bf800030 00 00 00 00 00 00 00 00-00 00 00 00 f0 00 00 00 ................ bf800040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th bf800050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno bf800060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS bf800070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$....... 2013-2-6 11:49 0
whypcgames 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 9 粉丝 0 关注私信	whypcgames 3 楼好久不上，谢谢KiDebug先 2013-4-3 09:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复