设为首页收藏一下又不会死!新人公告
切换到窄版

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
技术宅的结界»论坛 计算机技术 源码分享 如何用windbg对dll所有导出函数下断
返回列表 发新帖
查看: 3428|回复: 1

如何用windbg对dll所有导出函数下断

[复制链接]
元始天尊
发表于 2015-8-3 22:41:40 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有账号?立即注册→加入我们

×
本帖最后由 元始天尊 于 2015-8-6 08:56 编辑

①lm获取基址 base
②解析导出表 r@$t1=base+poi(base+poi(base+0x3c)+0x78)
③遍历导出函数 .for(r@$t2=0;@$t2<poi(@$t1+0x18);r@$t2=@$t2+1) {bp base+poi(base+poi(@$t1+0x1c)+4*@$t2)}


kd> ? nt!PsInitialSystemProcess
Evaluate expression: -2141867436 = 8055b254
kd> ? nt!PspInitialSystemProcessHandle
Evaluate expression: -2140730544 = 80670b50

_EPROCESS
+0x0c4 ObjectTable _HANDLE_TABLE
+0x190 ThreadListHead _LIST_ENTRY

_KPROCESS
+0x050 ThreadListHead _LIST_ENTRY

_HANDLE_TABLE
+0x01c HandleTableList _LIST_ENTRY

遍历所有线程
!list -t nt!_LIST_ENTRY.Flink -x "dt nt!_KTHREAD @@(#CONTAINING_RECORD(@$extret,nt!_KTHREAD,ThreadListEntry))" poi( EPROCESS地址 +@@(#FIELD_OFFSET(nt!_KPROCESS,ThreadListHead)))

枚举句柄
!list -t nt!_LIST_ENTRY.Flink -x "dt nt!_HANDLE_TABLE @@(#CONTAINING_RECORD(@$extret,nt!_HANDLE_TABLE,HandleTableList))" nt!HandleTableListHead

未完待续。。。。。。。。。。。。
回复

使用道具 举报

FFFFFFFE
发表于 2015-10-2 18:53:02 | 显示全部楼层
这个收藏了  请及时续上 写写
回复 赞! 靠!

使用道具 举报

返回列表 发新帖

本版积分规则

QQ|Archiver|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图

GMT+8, 2024-11-22 01:23 , Processed in 0.029512 second(s), 22 queries , Gzip On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表