LibVMI 및 Windows 7 32 비트를 실험하고 있습니다. 제대로 설정하려면 EPROCESS 구조체의 처음 8 바이트를 봐야합니다 (라이브러리는 매직 넘버를 찾기 위해 메모리를 검색합니다.windbg로 EPROCESS 덤핑
내 Windows-fu가 강하지 않기 때문에 누구나 적절한 비트의 메모리를 덤프하는 방법을 알려 줄 수 있습니까? 로컬 커널 디버거를 실행 중이며 "dt nt! _EPROCESS"까지 가져 왔지만 실제로는 구조의 형식이 아닌 실제 형식이 무엇인지 보여줍니다.
명령은 다음과 같습니다
dt nt!_EPROCESS <address>
당신은 !process 0 7의 출력에서 주소를 얻을 수 있어야합니다.
Seva Titov의 대답은 내가 한 것과 비슷합니다. 여기에 어떻게 내가 해냈어 :
나에게 실행중인 프로세스의 짧은 목록을 제공!process 0 0
; 내가 특별히 가고 간단한 작은 프로그램을 가지고 calc.exe를 시작했다, 그래서 나는 목록을 검토 한 다음 실행 : 출력의
!process calc.exe
첫 번째 줄은 중요한 비트입니다 PROCESS 83f81178와 같은 시작했다. 그때 한 :
db 83f81178
83f81178 03 00 26 00 00 00 00 00--80 11 f8 83 80 11 f8 83 ..&............ 83f81188 88 11 f8 83 88 11 f8 83--80 23 e2 3e 00 00 00 00 ........#.>....
내가 필요한 것을, 그래서 중지 그 그곳에.