Как да разглобявам последните няколко инструкции на Native API в Windbg?

Искам да разглобя последните няколко инструкции на Native API в Windbg. Как да направя това?

Например, аз съм в режим на ядрото в Windbg и искам да разглобя последните няколко инструкции на KiSystemService API, как да направя това?

Освен това, ако има начин да видите размера на API, би било възможно да видите последната инструкция.

u nt!KiSystemService

Дава ми около 10 реда код на асемблерния език.

u nt!KiSystemService L100

Това ще ми покаже повече код на рутината System Service Dispatch. Но целта ми е да видя последните няколко инструкции.

Благодаря.


windbg
person Neon Flash    schedule 30.12.2011    source източник

Отговори (2)


arrow_upward
0
arrow_downward

uf nt!KiSystemService

ще се опита да разглоби само функцията.

person jcopenha    schedule 30.12.2011

arrow_upward
0
arrow_downward

на x86 .fnent ще покаже размер на функцията / брой необходими параметри / брой локални размер на пролог и отместване в началото на функцията, ако няма функция does not have chunks поради оптимизации) можете просто да започнете да разглобявате от ( начало отместване + размер - X)

lkd> .fnent nt!NtCreateProcessEx Функция за отстраняване на грешки 00ca5b70 за: (805c73ea) nt!NtCreateProcessEx | (805c7476) nt!PsCreateSystemProcess Точни съвпадения: nt!NtCreateProcessEx =

OffStart: 000f03ea ProcSize: 0x86 Prologue: 0xc Params: 0n9 (0x24 байта) Локални: 0n7 (0x1c байта) Non-FPO

на x64 FPO_DATA is not available instead IMAGE_FUNCTIOn_ENTRY ще бъде върнат от .fnent може да се наложи да погледнете UnWind Inforamtion, за да получите подробности

person blabb    schedule 20.05.2014