最近研究 windows启动过程,对kisystemstartup 这个函数挺感兴趣的。通过双机调试 分析 发现 kisystemstartup 这个函数在断下的时候已经是执行过一次了。看前辈们的文章得知, ntoskrnl的入口函数为kiSystemStartup,也就是说当 windbg 断下的时候肯定是已经执行一遍了。现在有个问题,如何动态分析第一次kisystemstartup的执行过程? ida gdb+ vmware 就算了,这个x64基址真找不来。
[注意]看雪招聘,专注安全领域的专业人才平台!
