最近研究 windows启动过程,对kisystemstartup 这个函数挺感兴趣的。通过双机调试 分析 发现 kisystemstartup 这个函数在断下的时候已经是执行过一次了。看前辈们的文章得知, ntoskrnl的入口函数为kiSystemStartup,也就是说当 windbg 断下的时候肯定是已经执行一遍了。现在有个问题,如何动态分析第一次kisystemstartup的执行过程? ida gdb+ vmware 就算了,这个x64基址真找不来。
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
