-
-
[求助]关于IDA的操作和IRP相关的问题
-
2008-10-13 12:13
4260
-
首先说一下,不是小弟懒,我已经找过了,可是没找到……
我在分析的时候,发现一个寄存器指向了一个结构,那么怎么让IDA知道呢(就像MASM里的assume一样)?
在分析中华吸血鬼的驱动,发现里面有一句:
。。。。。
v2->Tail.Overlay.Thread = (PETHREAD)KeGetCurrentThread();
v2->Tail.Overlay.OriginalFileObject = (PFILE_OBJECT)Object;
v18 = (int)((char *)v2->Tail.Overlay.CurrentStackLocation - 36); //就是这个
*(_BYTE *)v18 = 13;
。。。。。
这个是IDA给出的
。。。
.text:00012452 mov eax, [ebx+60h] //ebx = PIRP
.text:00012455 sub eax, 24h
.text:00012458 mov byte ptr [eax], 0Dh
。。。
大牛都出来冒个泡,帮忙给小弟解释一下
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
