[求助]如何用windbg分析函数调用-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]如何用windbg分析函数调用

发表于: 2009-5-24 20:56 7886

[求助]如何用windbg分析函数调用

人族

2009-5-24 20:56

7886

RT
经常看到某某大虾，使用WINDBG跟踪函数调用过程，但不清楚是怎么配置的？
比如:
分析OpenProcess这个api的调用过程
kernel32.dll，然后发现在
call ds:NtOpenProcess

调用了ntdll.dll的NtOpenProcess函数。之后发现ntdll.dll中的这个函数：
mov eax, 7Ah
mov edx, 7FFE0300h
call dword ptr [edx]
retn 10h

怎么知道NtOpenProcess在ntdll.dll中，怎么跟踪的？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・1

免费・0

支持

最新回复 (3)
菊冬雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 91 粉丝 0 关注私信	菊冬 2 楼 wt 123456 2009-5-24 22:43 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 3 楼都可以啊,CE也可以看,od也可以看,OpenProcess下个断,调用来了F7进去,应该就是 mov eax,7ah 这类了,这里的7a就是SSDT服务索引.. 7A对应的就是NtOpenProcess了.. 关于NtOpenProcess的调用,请参考wrk 2009-5-24 23:21 0
SongLei 雪币： 210 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	SongLei 4 楼 wt [WatchOptions] [= StartAddress] [EndAddress] 2009-5-28 19:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

人族

发帖

114

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
菊冬雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 91 粉丝 0 关注私信	菊冬 2 楼 wt 123456 2009-5-24 22:43 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 3 楼都可以啊,CE也可以看,od也可以看,OpenProcess下个断,调用来了F7进去,应该就是 mov eax,7ah 这类了,这里的7a就是SSDT服务索引.. 7A对应的就是NtOpenProcess了.. 关于NtOpenProcess的调用,请参考wrk 2009-5-24 23:21 0
SongLei 雪币： 210 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	SongLei 4 楼 wt [WatchOptions] [= StartAddress] [EndAddress] 2009-5-28 19:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复