首页>编程与逆向>内核编程>windbg中如何查看 某个跳转地址 在哪个模块??
回复
« 返回列表
lwglucky
lwglucky
驱动牛犊
驱动牛犊
  • 注册日期2003-01-06
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分21分
  • 威望129点
  • 贡献值0点
  • 好评度15点
  • 原创分0分
  • 专家分0分
写私信
阅读:3198回复:4

windbg中如何查看 某个跳转地址 在哪个模块??

楼主#
更多 发布于:2008-10-15 23:14
在ntoskkernal中某个函数被病毒修改成
mov     eax, 0BAFC9906h
jmp     eax
。。。
我dump出ntoskernal后,如何查看 0BAFC9906h 地址对应的是哪个驱动模块??
谢谢
喜欢0
眼底手高
回复
boywhp
boywhp
驱动中牛
驱动中牛
  • 注册日期2007-08-09
  • 最后登录2015-04-24
  • 粉丝2
  • 关注0
  • 积分1105分
  • 威望515点
  • 贡献值0点
  • 好评度254点
  • 原创分1分
  • 专家分0分
写私信
沙发#
发布于:2008-10-16 08:17
-u 0BAFC9906h
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
板凳#
发布于:2008-10-16 08:50
Zwquerysysteminformation 获得所有驱动的BASE ,SIZE然后判断目标地址的空间范围。
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
tiamo
tiamo
VIP专家组
VIP专家组
  • 注册日期2002-02-26
  • 最后登录2018-01-09
  • 粉丝17
  • 关注4
  • 积分50分
  • 威望142点
  • 贡献值1点
  • 好评度40点
  • 原创分2分
  • 专家分15分
写私信
  • 原创先锋奖
  • 社区居民
地板#
发布于:2008-10-16 13:11
lm (List Loaded Modules)
The lm command displays the specified loaded modules. The output includes the status and the path of the module.

Syntax
lm Options [a Address] [m Pattern | M Pattern]


a Address
Specifies an address that is contained in this module. Only the module that contains this address is displayed. If Address contains an expression, it must be enclosed in parentheses.
回复(0) 喜欢(0)
AllenZh
AllenZh
驱动老牛
驱动老牛
  • 注册日期2001-08-19
  • 最后登录2015-11-27
  • 粉丝19
  • 关注10
  • 积分1316分
  • 威望2387点
  • 贡献值7点
  • 好评度321点
  • 原创分0分
  • 专家分0分
写私信
地下室#
发布于:2008-10-17 22:56
方法很多,上边说了几种,下面在补充些
你也可以在这个地方下个断点,然后单步调试下就知道
还可以找个工具查看下
...............
1,承接Windows下驱动/应用开发 2,本人原创虚拟鼠标/键盘,触摸屏,虚拟显卡,Mirror驱动,XP无盘的SCSI虚拟磁盘驱动等 3,windows下有尝技术服务(包括BUG调试,员工培训等) 欢迎深圳和海外企业联系.msn:mfczmh@sina.com
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部