最近研究 windows启动过程,对kisystemstartup 这个函数挺感兴趣的。通过双机调试 分析 发现 kisystemstartup 这个函数在断下的时候已经是执行过一次了。看前辈们的文章得知, ntoskrnl的入口函数为kiSystemStartup,也就是说当 windbg 断下的时候肯定是已经执行一遍了。现在有个问题,如何动态分析第一次kisystemstartup的执行过程? ida gdb+ vmware 就算了,这个x64基址真找不来。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
