写了个小的 WinDbg 脚本，可以显示 SSDT-软件逆向-看雪-安全社区|安全招聘|kanxue.com

写了个小的 WinDbg 脚本，可以显示 SSDT

发表于: 2006-10-29 14:45 16206

写了个小的 WinDbg 脚本，可以显示 SSDT

小喂

2006-10-29 14:45

16206

$$ ntcall Script v0.1
$$ by 小喂 2006.10.29

aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%x\\\" cmd=\\\"uf 0x%x\\\">";
aS ufLinkE "</link></col></u>";

r $t1 = nt!KeServiceDescriptorTable;
r $t2 = poi(@$t1 + 8);
r $t1 = poi(@$t1);

.printf "\nOrd Address fnAddr Symbols\n";
.printf "--------------------------------\n\n";

.for (r $t0 = 0; @$t0 != @$t2; r $t0 = @$t0 + 1)
{
r $t3 = poi(@$t1);
.printf /D "[%3d] %X: ${ufLinkS}%X${ufLinkE} (%y)\n", @$t0, @$t1, @$t3, @$t3, @$t3, @$t3;
r $t1 = @$t1 + 4;
}

.printf "\n- end -\n";

ad ufLinkS;
ad ufLinkE;

点击链接会完整反汇编具体某个函数。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・12

免费・7

支持

最新回复 (12)
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 2 楼学习+收藏！ 2006-10-29 14:53 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 3 楼欢迎小喂，论坛需要新鲜血液注入 2006-10-29 15:00 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 4 楼这个脚本里面用到了 WinDbg v6.6.7.5 版本引入的 Debugger markup language(DML)，看了一点文档，还不会用，期待高手关于 WinDbg 的文章。 2006-10-29 15:24 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼诡异的语法 2006-10-29 16:41 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 6 楼 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%x\\\" cmd=\\\"uf 0x%x\\\">"; aS ufLinkE "</link></col></u>"; 相当于VB的DIM UFLINKS，UFLINKE AS STRING UfLINKs=<u><col fg="emphfg"><link name="%x" cmd="uf 0x%x"> ufLinke=</link></col></u> 这样就好理解多了，主要在""里面使用"，需要在前面加\.UF是WINDBG的指令，汇编整个函数按照楼主的思路，说不定也能用WINDBG的LOG读写功能来生成一个HTML的报告文件原来还有Debugger markup language(DML)，我之前发的教学看来要误导新手了，先去找文档学习一下，看看能不能写些实例 2006-10-30 11:34 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 7 楼在GOOGLE和MSDN搜索了一下。用了Debugger markup language和DML关键字。除了查到DML=data manipulation language （在MSDN中查到跟SQL有关的，一大堆）之外。。还查到一个网站，里面似乎有相关文章，但是收钱的。。。请问楼主能不能给出文档相关连接？ http://www.1bit.com.br/content.1bit/weblog/windbg_dml 我只找到这个。。。还不知道是哪国的文字。。 http://www.priorartdatabase.com/IPCOM/000136606/ 这个似乎是卖文章的。。 2006-10-30 15:16 0
９５２１雪币： 1695 活跃值： (993) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 2 关注私信	９５２１ 8 楼这个东西不错，学习 2006-10-30 16:01 0
RyoKou 雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	RyoKou 1 9 楼最初由笨笨雄* 发布* 在GOOGLE和MSDN搜索了一下。用了Debugger markup language和DML关键字。除了查到DML=data manipulation language （在MSDN中查到跟SQL有关的，一大堆）之外。。还查到一个网站，里面似乎有相关文章，但是收钱的。。。请问楼主能不能给出文档相关连接？ http://www.1bit.com.br/content.1bit/weblog/windbg_dml 我只找到这个。。。还不知道是哪国的文字。。 ........ windbg根目录下的dml.doc。 2006-10-30 16:13 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 10 楼最初由笨笨雄* 发布* 在GOOGLE和MSDN搜索了一下。用了Debugger markup language和DML关键字。除了查到DML=data manipulation language （在MSDN中查到跟SQL有关的，一大堆）之外。。还查到一个网站，里面似乎有相关文章，但是收钱的。。。请问楼主能不能给出文档相关连接？ http://www.1bit.com.br/content.1bit/weblog/windbg_dml 我只找到这个。。。还不知道是哪国的文字。。 ........ 我也是看了 WinDbg 目录下的 dml.doc。你搜到的链接里面好像也是啊！ 2006-10-30 19:57 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 11 楼谢谢楼上两位拉我的观察不够仔细我试试能不能把它翻译了，方便大家看 2006-10-30 21:19 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 12 楼最初由笨笨雄* 发布* 谢谢楼上两位拉我的观察不够仔细 ........ 绝对支持 2006-10-30 21:57 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 13 楼 Connected to Windows 2000 2195 x86 compatible target, ptr64 FALSE Kernel Debugger connection established. (Initial Breakpoint requested) Symbol search path is: srvd:\symbolshttp://msdl.microsoft.com/download/symbols Executable search path is: Windows 2000 Kernel Version 2195 UP Free x86 compatible Kernel base = 0x80400000 PsLoadedModuleList = 0x8046e8f0 kd> db nt!KeServiceDescriptorTable 8047cb60 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 8047cb70 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 8047cb80 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 8047cb90 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 系统服务描述表怎么是空的？ 2007-3-7 17:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

小喂

发帖

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 2 楼学习+收藏！ 2006-10-29 14:53 0
kanxue 雪币： 44229 活跃值： (19960) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 3 楼欢迎小喂，论坛需要新鲜血液注入 2006-10-29 15:00 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 4 楼这个脚本里面用到了 WinDbg v6.6.7.5 版本引入的 Debugger markup language(DML)，看了一点文档，还不会用，期待高手关于 WinDbg 的文章。 2006-10-29 15:24 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 5 楼诡异的语法 2006-10-29 16:41 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 6 楼 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%x\\\" cmd=\\\"uf 0x%x\\\">"; aS ufLinkE "</link></col></u>"; 相当于VB的DIM UFLINKS，UFLINKE AS STRING UfLINKs=<u><col fg="emphfg"><link name="%x" cmd="uf 0x%x"> ufLinke=</link></col></u> 这样就好理解多了，主要在""里面使用"，需要在前面加\.UF是WINDBG的指令，汇编整个函数按照楼主的思路，说不定也能用WINDBG的LOG读写功能来生成一个HTML的报告文件原来还有Debugger markup language(DML)，我之前发的教学看来要误导新手了，先去找文档学习一下，看看能不能写些实例 2006-10-30 11:34 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 7 楼在GOOGLE和MSDN搜索了一下。用了Debugger markup language和DML关键字。除了查到DML=data manipulation language （在MSDN中查到跟SQL有关的，一大堆）之外。。还查到一个网站，里面似乎有相关文章，但是收钱的。。。请问楼主能不能给出文档相关连接？ http://www.1bit.com.br/content.1bit/weblog/windbg_dml 我只找到这个。。。还不知道是哪国的文字。。 http://www.priorartdatabase.com/IPCOM/000136606/ 这个似乎是卖文章的。。 2006-10-30 15:16 0
９５２１雪币： 1695 活跃值： (993) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 2 关注私信	９５２１ 8 楼这个东西不错，学习 2006-10-30 16:01 0
RyoKou 雪币： 214 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	RyoKou 1 9 楼最初由笨笨雄* 发布* 在GOOGLE和MSDN搜索了一下。用了Debugger markup language和DML关键字。除了查到DML=data manipulation language （在MSDN中查到跟SQL有关的，一大堆）之外。。还查到一个网站，里面似乎有相关文章，但是收钱的。。。请问楼主能不能给出文档相关连接？ http://www.1bit.com.br/content.1bit/weblog/windbg_dml 我只找到这个。。。还不知道是哪国的文字。。 ........ windbg根目录下的dml.doc。 2006-10-30 16:13 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 10 楼最初由笨笨雄* 发布* 在GOOGLE和MSDN搜索了一下。用了Debugger markup language和DML关键字。除了查到DML=data manipulation language （在MSDN中查到跟SQL有关的，一大堆）之外。。还查到一个网站，里面似乎有相关文章，但是收钱的。。。请问楼主能不能给出文档相关连接？ http://www.1bit.com.br/content.1bit/weblog/windbg_dml 我只找到这个。。。还不知道是哪国的文字。。 ........ 我也是看了 WinDbg 目录下的 dml.doc。你搜到的链接里面好像也是啊！ 2006-10-30 19:57 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 21 关注私信	笨笨雄 14 11 楼谢谢楼上两位拉我的观察不够仔细我试试能不能把它翻译了，方便大家看 2006-10-30 21:19 0
小喂雪币： 191 活跃值： (41) 能力值： ( LV12，RANK：210 ) 在线值：发帖 19 回帖 89 粉丝 6 关注私信	小喂 5 12 楼最初由笨笨雄* 发布* 谢谢楼上两位拉我的观察不够仔细 ........ 绝对支持 2006-10-30 21:57 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 13 楼 Connected to Windows 2000 2195 x86 compatible target, ptr64 FALSE Kernel Debugger connection established. (Initial Breakpoint requested) Symbol search path is: srvd:\symbolshttp://msdl.microsoft.com/download/symbols Executable search path is: Windows 2000 Kernel Version 2195 UP Free x86 compatible Kernel base = 0x80400000 PsLoadedModuleList = 0x8046e8f0 kd> db nt!KeServiceDescriptorTable 8047cb60 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 8047cb70 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 8047cb80 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 8047cb90 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 系统服务描述表怎么是空的？ 2007-3-7 17:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复