首页>编程与逆向>内核编程>windbg调试内核sys驱动程序看到的地址和IDA看到的地...
回复
« 返回列表
lwglucky
lwglucky
驱动牛犊
驱动牛犊
  • 注册日期2003-01-06
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分21分
  • 威望129点
  • 贡献值0点
  • 好评度15点
  • 原创分0分
  • 专家分0分
写私信
阅读:1929回复:3

windbg调试内核sys驱动程序看到的地址和IDA看到的地址不一致,如何对应??

楼主#
更多 发布于:2008-08-17 12:18
windbg调试内核sys驱动程序看到的地址和IDA看到的地址不一致,如何对应??
喜欢0
眼底手高
回复
petsatan
petsatan
驱动牛犊
驱动牛犊
  • 注册日期2007-09-03
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分12分
  • 威望133点
  • 贡献值0点
  • 好评度17点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2008-08-18 14:18
我觉得问题在于不知道sys文件加载到内存的位置啊 ?

mark..
回复(0) 喜欢(0)
x-star
x-star
驱动小牛
驱动小牛
  • 注册日期2007-04-26
  • 最后登录2018-11-17
  • 粉丝0
  • 关注0
  • 积分65分
  • 威望664点
  • 贡献值1点
  • 好评度39点
  • 原创分1分
  • 专家分1分
写私信
  • 社区居民
板凳#
发布于:2008-08-22 18:52
当然不一样啊  加上sys 在内存中加载的地址就好了
回复(0) 喜欢(0)
dreamsity
dreamsity
驱动小牛
驱动小牛
  • 注册日期2006-09-01
  • 最后登录2013-07-04
  • 粉丝0
  • 关注0
  • 积分40分
  • 威望821点
  • 贡献值1点
  • 好评度68点
  • 原创分1分
  • 专家分0分
写私信
地板#
发布于:2008-09-04 22:16
先使用lm命令获得模块基地址,然后使用IDA打开驱动后,找到驱动中的地址减去驱动的虚拟基地址,然后加上物理内存中的模块基地址,就是物理内存中的地址了。
一切都是时间问题!
回复(0) 喜欢(0)
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部