首页
社区
课程
招聘
[原创]Ntoskrnl_Viewer X64:可在非测试模式下符号化浏览内核内存
发表于: 2022-8-28 19:00 8306

[原创]Ntoskrnl_Viewer X64:可在非测试模式下符号化浏览内核内存

2022-8-28 19:00
8306

1.驱动模块(编译后的驱动需要和EXE放在同一文件夹)

2.用户模块

3.成品模块(驱动已签名)

可在不开启测试模式和WinDbg本地调试的情况下,以符号化的形式浏览本地内存!

不管是否为导出函数、未导出函数、系统内核变量、标志,只要在PDB文件中的符号,都能浏览其内存。

只支持X64系统,理论上支持任何版本(只要微软公开了此版本的PDB)


(也可使用 l? 指定输出的个数,最大限度100 例: dq KeServiceDescriptorTable l4 效果如上图1)

不然驱动无法正常卸载!

以后可能会更新 “eb、ew、ed、eq”命令。

The commands "EB, EW, ED, EQ" may be updated later.


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2022-8-31 21:57 被icey_编辑 ,原因: 更新
收藏
免费 1
支持
分享
最新回复 (6)
雪    币: 4802
活跃值: (3797)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
2
与sysinternals的livekd.exe相比,有什么优势?它这个也不要求开启测试模式和WinDbg本地调试。
2022-8-29 10:16
0
雪    币: 1246
活跃值: (1978)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
3
scz 与sysinternals的livekd.exe相比,有什么优势?它这个也不要求开启测试模式和WinDbg本地调试。
你好,单功能而言,确实没有livekd如此全能。但是livekd的运行需要依靠windbg或kd的组件,还需要配置环境,我这个小项目不需要,直接运行就能用。
我这个小项目针对性比较强,就是为了能更方便快捷的查看Ntoskrnl的内存。开源,代码量少,原理简单,能和其他项目更好的结合。(缺点也能被我说成优点来
2022-8-30 10:38
0
雪    币: 4802
活跃值: (3797)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
4
icey_ 你好,单功能而言,确实没有livekd如此全能。但是livekd的运行需要依靠windbg或kd的组件,还需要配置环境,我这个小项目不需要,直接运行就能用。 我这个小项目针对性比较强,就是为了能更方 ...
你说livekd需要配置环境指什么,设置_NT_SYMBOL_PATH环境变量或PATH环境变量?

livekd.exe -k kd.exe

需要kd.exe在场到是没错。不过一般都要看内核了,windbg不在场怕是很罕见。
2022-8-30 15:22
0
雪    币: 3736
活跃值: (3867)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
上次发现livekd的一个bug,第一次成功加载驱动A,假设基地址为a,然后成功卸载该驱动,再次成功加载驱动A,基地址为b,然而用livekd+windbg看到驱动A的基地址还是a!!
2022-8-30 15:58
0
雪    币: 4171
活跃值: (4232)
能力值: ( LV3,RANK:37 )
在线值:
发帖
回帖
粉丝
6
fengyunabc 上次发现livekd的一个bug,第一次成功加载驱动A,假设基地址为a,然后成功卸载该驱动,再次成功加载驱动A,基地址为b,然而用livekd+windbg看到驱动A的基地址还是a!!
不是bug,因为livekd是dump的
2023-7-25 17:23
0
雪    币: 2948
活跃值: (30846)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
感谢分享
2023-7-26 09:05
1
游客
登录 | 注册 方可回帖
返回
//