首页
社区
课程
招聘
[求助]如何找到IDT, CODE起始和终止等的地址?
发表于: 2009-7-25 01:22 4986

[求助]如何找到IDT, CODE起始和终止等的地址?

2009-7-25 01:22
4986
我想找出一些内核关键数据的地址(虚拟或者物理地址,最后要物理地址)。比如IDT TABLE, SYSTEM CALL TABLE, SSDT TABLE, 还有WINDOWS 内核的代码段的起始和终止地址。
这些地址在LINUX上很容易找到。但是WINDOWS似乎就麻烦很多。

我用过 WINDBG的 x*!idt* 来找过IDT TABLE的地址。但是找出来的2个都不是。我知道他们不是,因为我是在QEMU 的虚拟机里直接跑WIN XP。可以通过QEMU MONITOR直接看IDTR的值。WINDBG找出来的和 IDTR 的值不一样。

不知道哪位大牛可以指点下?

另外,假如我已经知道了一个地址,比如IDTR, 那么能否反向的搜一下哪个符号对应的这个地址?

多谢!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 169
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
nt!IDT 的位置在INIT节里面. 系统启动以后 貌似已经看不到了.
2009-7-25 12:37
0
游客
登录 | 注册 方可回帖
返回
//