-
-
[求助]如何找到IDT, CODE起始和终止等的地址?
-
发表于:
2009-7-25 01:22
4986
-
[求助]如何找到IDT, CODE起始和终止等的地址?
我想找出一些内核关键数据的地址(虚拟或者物理地址,最后要物理地址)。比如IDT TABLE, SYSTEM CALL TABLE, SSDT TABLE, 还有WINDOWS 内核的代码段的起始和终止地址。
这些地址在LINUX上很容易找到。但是WINDOWS似乎就麻烦很多。
我用过 WINDBG的 x*!idt* 来找过IDT TABLE的地址。但是找出来的2个都不是。我知道他们不是,因为我是在QEMU 的虚拟机里直接跑WIN XP。可以通过QEMU MONITOR直接看IDTR的值。WINDBG找出来的和 IDTR 的值不一样。
不知道哪位大牛可以指点下?
另外,假如我已经知道了一个地址,比如IDTR, 那么能否反向的搜一下哪个符号对应的这个地址?
多谢!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)