能力值:
( LV6,RANK:90 )
|
-
-
2 楼
晕,咋没人告诉俺呢....
|
能力值:
( LV6,RANK:90 )
|
-
-
3 楼
顶
应该很简单吧,高手们不要不屑于回答啊,我在网上搜了好久都没找到
|
能力值:
( LV13,RANK:1050 )
|
-
-
4 楼
用windbg的内核调试模式可以看高位内存。例如:
lkd> dd 0x80042000
80042000 838d0000 b2352de0 b9fc0010 00001000
80042010 760c4d89 fc4d8b08 4d89cb2b 146c0320
80042020 14453b02 008a870f c18b0000 8d02e9c1
80042030 fb8b0272 c88ba5f3 f303e183 0c5d03a4
80042040 3bf8558b 7174fc5d 8314458b d03bfec0
80042050 c2f66777 8a0d7401 10458802 8801428a
80042060 07eb0000 20ac0000 18000004 00000018
80042070 00000000 00000000 00000000 00000000
|
能力值:
( LV6,RANK:90 )
|
-
-
5 楼
谢谢combojiang,但我想看到模块的分布情况,有没有办法?象ollydbg的mem指令那样的
xxx.text 00410000 420000 --E
xxx.Date 00430000 440000 RW-
yyy.text
...
.....
这样的
现在情况就是ollydbg不能看高位的,而softice或windbg我又不知道用什么命令可以看(如果有这种命令的话)
|
能力值:
( LV12,RANK:470 )
|
-
-
6 楼
使用rku
看psloadmodulelist
可以获取每一个系统驱动的加载基址 文件名 ==
至于你要查询某个特定内存地址属于哪个模块
需要自己根据psloadmodulelist计算
psloadmodulelist-每个模块的加载基址
-每个模块的大小-继续内存中分析pe头
-获取区段信息-比较之。
应该能够达到你想的效果
|
能力值:
( LV6,RANK:90 )
|
-
-
7 楼
没有现成的工具来实现吗??
RKU好像不行哦
|
|
|