最近研究 windows启动过程,对kisystemstartup 这个函数挺感兴趣的。通过双机调试 分析 发现 kisystemstartup 这个函数在断下的时候已经是执行过一次了。看前辈们的文章得知, ntoskrnl的入口函数为kiSystemStartup,也就是说当 windbg 断下的时候肯定是已经执行一遍了。现在有个问题,如何动态分析第一次kisystemstartup的执行过程? ida gdb+ vmware 就算了,这个x64基址真找不来。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
