[求助]怎么看到高位内存中的模块映射情况??-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 2 楼晕,咋没人告诉俺呢.... 2008-3-26 11:48 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 3 楼顶应该很简单吧，高手们不要不屑于回答啊，我在网上搜了好久都没找到 2008-3-27 18:02 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 4 楼用windbg的内核调试模式可以看高位内存。例如: lkd> dd 0x80042000 80042000 838d0000 b2352de0 b9fc0010 00001000 80042010 760c4d89 fc4d8b08 4d89cb2b 146c0320 80042020 14453b02 008a870f c18b0000 8d02e9c1 80042030 fb8b0272 c88ba5f3 f303e183 0c5d03a4 80042040 3bf8558b 7174fc5d 8314458b d03bfec0 80042050 c2f66777 8a0d7401 10458802 8801428a 80042060 07eb0000 20ac0000 18000004 00000018 80042070 00000000 00000000 00000000 00000000 2008-3-27 22:04 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 5 楼谢谢combojiang，但我想看到模块的分布情况，有没有办法？象ollydbg的mem指令那样的 xxx.text 00410000 420000 --E xxx.Date 00430000 440000 RW- yyy.text ... ..... 这样的现在情况就是ollydbg不能看高位的，而softice或windbg我又不知道用什么命令可以看（如果有这种命令的话） 2008-3-28 01:37 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 6 楼使用rku 看psloadmodulelist 可以获取每一个系统驱动的加载基址文件名＝＝至于你要查询某个特定内存地址属于哪个模块需要自己根据psloadmodulelist计算 psloadmodulelist－每个模块的加载基址－每个模块的大小－继续内存中分析pe头－获取区段信息－比较之。应该能够达到你想的效果 2008-3-28 18:06 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 7 楼没有现成的工具来实现吗?? RKU好像不行哦 2008-3-28 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 2 楼晕,咋没人告诉俺呢.... 2008-3-26 11:48 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 3 楼顶应该很简单吧，高手们不要不屑于回答啊，我在网上搜了好久都没找到 2008-3-27 18:02 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 4 楼用windbg的内核调试模式可以看高位内存。例如: lkd> dd 0x80042000 80042000 838d0000 b2352de0 b9fc0010 00001000 80042010 760c4d89 fc4d8b08 4d89cb2b 146c0320 80042020 14453b02 008a870f c18b0000 8d02e9c1 80042030 fb8b0272 c88ba5f3 f303e183 0c5d03a4 80042040 3bf8558b 7174fc5d 8314458b d03bfec0 80042050 c2f66777 8a0d7401 10458802 8801428a 80042060 07eb0000 20ac0000 18000004 00000018 80042070 00000000 00000000 00000000 00000000 2008-3-27 22:04 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 5 楼谢谢combojiang，但我想看到模块的分布情况，有没有办法？象ollydbg的mem指令那样的 xxx.text 00410000 420000 --E xxx.Date 00430000 440000 RW- yyy.text ... ..... 这样的现在情况就是ollydbg不能看高位的，而softice或windbg我又不知道用什么命令可以看（如果有这种命令的话） 2008-3-28 01:37 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 6 楼使用rku 看psloadmodulelist 可以获取每一个系统驱动的加载基址文件名＝＝至于你要查询某个特定内存地址属于哪个模块需要自己根据psloadmodulelist计算 psloadmodulelist－每个模块的加载基址－每个模块的大小－继续内存中分析pe头－获取区段信息－比较之。应该能够达到你想的效果 2008-3-28 18:06 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 7 楼没有现成的工具来实现吗?? RKU好像不行哦 2008-3-28 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]怎么看到高位内存中的模块映射情况?? 0.00雪花