[求助]windbg查看不到KiFastCallEntry-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
Morgion 雪币： 606 活跃值： (638) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 651 粉丝 5 关注私信	Morgion 1 2015-11-16 11:56 2 楼 0 先说你加载符号没。 .reload都不行的话，你看看是不是符号没加载对
大狮兄雪币： 16 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	大狮兄 2015-11-16 12:04 3 楼 0 加载了符号的，官网下载的对应系统的符号包，加载符号后显示 Loading Kernel Symbols ............................................................... ................................................................ ......................... Loading User Symbols Loading unloaded module list .... 然后我 u NtOpenProcess之类的函数，成功，u KiFastCallEntry，显示一大堆的类似 ERROR: Module load completed but symbols could not be loaded for \SystemRoot\system32\DRIVERS\iusb3hcs.sys * ERROR: Symbol file could not be found. Defaulted to export symbols for \SystemRoot\system32\drivers\vsock.sys - 的消息，最后显示一个，Couldn't resolve error at 'KiFastCallEntry' ，然后我调试一个记事本，输入.process /p fffffa8012220a40之后就出现了一个错误信息， Implicit process is now fffffa80`12220a40 GetContextState failed, 0x80004001 ，之后.reload，出现 Loading Kernel Symbols ............................................................... ................................................................ ......................... Loading User Symbols ...Missing image name, possible paged-out or corrupt data. .* WARNING: Unable to verify timestamp for Unknown_Module_00000000`00000000 Unable to add module at 00000000`00000000 ..................... Loading unloaded module list .... ，再次u KiFastCallEntry依然失败。这个就是整个流程了
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2015-11-16 15:27 4 楼 0 设置symbol从服务器获取比较好~~ 有时候会有很大差异~ PS：64位没有KiFastCallEntry 64位入口是KiSystemCall64 或者KiSystemCall32 不过KiSystemCall32这个应该没用。
大狮兄雪币： 16 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	大狮兄 2015-11-16 21:50 5 楼 0 好的，非常感谢，找到KiSystemCall64啦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (4)
Morgion 雪币： 606 活跃值： (638) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 651 粉丝 5 关注私信	Morgion 1 2015-11-16 11:56 2 楼 0 先说你加载符号没。 .reload都不行的话，你看看是不是符号没加载对
大狮兄雪币： 16 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	大狮兄 2015-11-16 12:04 3 楼 0 加载了符号的，官网下载的对应系统的符号包，加载符号后显示 Loading Kernel Symbols ............................................................... ................................................................ ......................... Loading User Symbols Loading unloaded module list .... 然后我 u NtOpenProcess之类的函数，成功，u KiFastCallEntry，显示一大堆的类似 ERROR: Module load completed but symbols could not be loaded for \SystemRoot\system32\DRIVERS\iusb3hcs.sys * ERROR: Symbol file could not be found. Defaulted to export symbols for \SystemRoot\system32\drivers\vsock.sys - 的消息，最后显示一个，Couldn't resolve error at 'KiFastCallEntry' ，然后我调试一个记事本，输入.process /p fffffa8012220a40之后就出现了一个错误信息， Implicit process is now fffffa80`12220a40 GetContextState failed, 0x80004001 ，之后.reload，出现 Loading Kernel Symbols ............................................................... ................................................................ ......................... Loading User Symbols ...Missing image name, possible paged-out or corrupt data. .* WARNING: Unable to verify timestamp for Unknown_Module_00000000`00000000 Unable to add module at 00000000`00000000 ..................... Loading unloaded module list .... ，再次u KiFastCallEntry依然失败。这个就是整个流程了
cvcvxk 雪币： 8863 活跃值： (2374) 能力值： ( LV12，RANK：760 ) 在线值：发帖 123 回帖 3108 粉丝 228 关注私信	cvcvxk 10 2015-11-16 15:27 4 楼 0 设置symbol从服务器获取比较好~~ 有时候会有很大差异~ PS：64位没有KiFastCallEntry 64位入口是KiSystemCall64 或者KiSystemCall32 不过KiSystemCall32这个应该没用。
大狮兄雪币： 16 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 53 粉丝 0 关注私信	大狮兄 2015-11-16 21:50 5 楼 0 好的，非常感谢，找到KiSystemCall64啦
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复