-
-
[分享] udbg 0.2发布: 文档完善 & 功能增强
-
发表于: 2021-10-22 17:55
-
udbg 0.2 发布,相较0.1变化比较大,引入了lqt库使用lua重写了大部分Qt的界面逻辑;修复了若干Bug;支持Windows内核空间查看,还增加了几个实用功能
介绍几个重要的功能,更多资料可查阅文档网站
插件功能都由lua实现,可以根据实际需要自己修改
以管理员身份运行udbg -A krnl -o 4可以查看Windows内核空间,效果如图所示
注意:此功能依赖驱动driver.dll,需要自己加签名;
!!!驱动未经大量测试,可能会蓝屏,使用之前注意保存重要资料!!!
以下功能也适用于Windows内核,另外不要随意修改内核内存
在模块列表或者内存页列表右键选择PE View即可查看
将内存中的PE镜像转储到文件,便于后续的静态分析;该功能集成到了PE View界面中,支持扫描导入表,编辑导入表
从微软官网下载所需的pdb符号文件,该功能依赖powershell的Invoke-WebRequest命令
源码参考script/udbg/client/__init.lua中的.download-pdb命令的实现
扫描模块内存的修改(包括可执行段和导出表)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
