[求助]windbg查看不到KiFastCallEntry-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼先说你加载符号没。 .reload都不行的话，你看看是不是符号没加载对 2015-11-16 11:56 0
大狮兄雪币： 16 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	大狮兄 3 楼加载了符号的，官网下载的对应系统的符号包，加载符号后显示 Loading Kernel Symbols ............................................................... ................................................................ ......................... Loading User Symbols Loading unloaded module list .... 然后我 u NtOpenProcess之类的函数，成功，u KiFastCallEntry，显示一大堆的类似 ERROR: Module load completed but symbols could not be loaded for \SystemRoot\system32\DRIVERS\iusb3hcs.sys * ERROR: Symbol file could not be found. Defaulted to export symbols for \SystemRoot\system32\drivers\vsock.sys - 的消息，最后显示一个，Couldn't resolve error at 'KiFastCallEntry' ，然后我调试一个记事本，输入.process /p fffffa8012220a40之后就出现了一个错误信息， Implicit process is now fffffa80`12220a40 GetContextState failed, 0x80004001 ，之后.reload，出现 Loading Kernel Symbols ............................................................... ................................................................ ......................... Loading User Symbols ...Missing image name, possible paged-out or corrupt data. .* WARNING: Unable to verify timestamp for Unknown_Module_00000000`00000000 Unable to add module at 00000000`00000000 ..................... Loading unloaded module list .... ，再次u KiFastCallEntry依然失败。这个就是整个流程了 2015-11-16 12:04 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 4 楼设置symbol从服务器获取比较好~~ 有时候会有很大差异~ PS：64位没有KiFastCallEntry 64位入口是KiSystemCall64 或者KiSystemCall32 不过KiSystemCall32这个应该没用。 2015-11-16 15:27 0
大狮兄雪币： 16 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	大狮兄 5 楼好的，非常感谢，找到KiSystemCall64啦 2015-11-16 21:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼先说你加载符号没。 .reload都不行的话，你看看是不是符号没加载对 2015-11-16 11:56 0
大狮兄雪币： 16 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	大狮兄 3 楼加载了符号的，官网下载的对应系统的符号包，加载符号后显示 Loading Kernel Symbols ............................................................... ................................................................ ......................... Loading User Symbols Loading unloaded module list .... 然后我 u NtOpenProcess之类的函数，成功，u KiFastCallEntry，显示一大堆的类似 ERROR: Module load completed but symbols could not be loaded for \SystemRoot\system32\DRIVERS\iusb3hcs.sys * ERROR: Symbol file could not be found. Defaulted to export symbols for \SystemRoot\system32\drivers\vsock.sys - 的消息，最后显示一个，Couldn't resolve error at 'KiFastCallEntry' ，然后我调试一个记事本，输入.process /p fffffa8012220a40之后就出现了一个错误信息， Implicit process is now fffffa80`12220a40 GetContextState failed, 0x80004001 ，之后.reload，出现 Loading Kernel Symbols ............................................................... ................................................................ ......................... Loading User Symbols ...Missing image name, possible paged-out or corrupt data. .* WARNING: Unable to verify timestamp for Unknown_Module_00000000`00000000 Unable to add module at 00000000`00000000 ..................... Loading unloaded module list .... ，再次u KiFastCallEntry依然失败。这个就是整个流程了 2015-11-16 12:04 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 4 楼设置symbol从服务器获取比较好~~ 有时候会有很大差异~ PS：64位没有KiFastCallEntry 64位入口是KiSystemCall64 或者KiSystemCall32 不过KiSystemCall32这个应该没用。 2015-11-16 15:27 0
大狮兄雪币： 16 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	大狮兄 5 楼好的，非常感谢，找到KiSystemCall64啦 2015-11-16 21:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复