首页
社区
课程
招聘
[原创]支持最新win11预览版24h2的windbg的!pool命令代替工具
发表于: 2024-9-25 15:12 2881

[原创]支持最新win11预览版24h2的windbg的!pool命令代替工具

王cb 活跃值
12
2024-9-25 15:12
2881

正确解析 HEAP_VS***符号 ,支持在最新win11 24h2 运行,替换windbg自带的!pool命令

test on win11 24h2 support lastest preview version

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
9: kd>  .load PoolViewerExt.dll
 
9: kd> r
 
rax=ffff848a8685f850 rbx=ffff9101027fe5a0 rcx=ffff910ffe6922c0
 
rdx=fffff8012a592270 rsi=fffff8012a592270 rdi=ffff9101027fe4d0
 
rip=fffff8012a6159f4 rsp=ffff848a8685f798 rbp=ffff848a8685f8a0
 
 r8=ffff9101027fe5a0  r9=ffff910ffecae040 r10=0000000000000001
 
r11=ffff910fed9fd1c0 r12=ffff910ffe6922c0 r13=0000000000000000
 
r14=0000000000000000 r15=ffff910ffecae040
 
iopl=0         nv up ei pl nz na pe nc
 
cs=0010  ss=0000  ds=002b  es=002b  fs=0053  gs=002b             efl=00040202
 
fffff801`2a6159f4 488bc4          mov     rax,rsp
 
9: kd> !poolview ffff910ffe6922c0
 
  Address              Size       (Status)      Tag    Type
 
  ---------------------------------------------------------
 
[GetDataForDescriptor::1431] Unit size is 0 ffff910ffe600000 ffff910ffe601240 0000000000000092 ffff910ffe6922c0
 
[GetDataForDescriptor::1495] Start heapctx  ffff910fed100140   VsContext  ffff910fed1002c0
 
[GetDataForDescriptor::1514] fetch SubsegmentList ffff910ffe613000 0000000000011000 000000000009d000
 
[GetDataForDescriptor::1514] fetch SubsegmentList ffff910ffe68e000 000000000009d000 0000000000042000
 
[GetDataForDescriptor::1545] FindPoolBlocksInVsSubsegment  ffff910ffe68e000 ffff910ffe6cc000 ffff910ffe6922c0
 
  0xffff910ffe692010   0x270      (Allocated)   CcSc   Vs
 
* 0xffff910ffe6922a0   0x210      (Allocated)   VHDc   Vs
 
  0xffff910ffe6924d0   0x240      (Allocated)   ALPC   Vs
 
  0xffff910ffe692730   0x240      (Allocated)   ALPC   Vs
 
  0xffff910ffe692990   0x240      (Allocated)   ALPC   Vs
 
  0xffff910ffe692bf0   0x240      (Allocated)   ALPC   Vs
 
  0xffff910ffe692e50   0x190      (Free)               Vs
 
[GetDataForDescriptor::1561] fetchidx  ffff910ffe6922c0 1

开源项目地址https://github.com/cbwang505/Win11PoolView


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2024-11-30 18:04 被王cb编辑 ,原因: fix lfh
上传的附件:
收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 27
活跃值: (1808)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
看起来有点帅的颜值
2024-9-25 23:15
0
雪    币: 12840
活跃值: (7549)
能力值: ( LV13,RANK:590 )
在线值:
发帖
回帖
粉丝
3

修复了lfh堆的展示

2024-11-29 16:51
0
游客
登录 | 注册 方可回帖
返回
//