WinDBG kernel-mode доступ к памяти одни ???????

Тема в разделе "WASM.BEGINNERS", создана пользователем Aids, 7 фев 2011.

  1. Aids

    Aids New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2007
    Сообщения:
    275
    Отлаживаю user-mode из kernel-mode. Ставлю бряк на EP отлаживаемого приложения, брякаюсь. И в дизасемблере вижу одни вопросики. пытаюсь посмотреть память от точки входа d eip тоже одни вопросики. А вот начало модуля d 0x400000 вижу. подскажите в чём дело?
     
  2. wasm_test

    wasm_test wasm test user

    Публикаций:
    0
    Регистрация:
    24 ноя 2006
    Сообщения:
    5.582
    Память выгружена или никогда не была загружена или demand-zero или... туча вариантов
     
  3. Aids

    Aids New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2007
    Сообщения:
    275
    Great
    программа выполнялась. я немного не правильно сказа. Я поставил бряк на OEP, файл запакован Execryptorом. Он распаковался и остановился на OEP. если выполняю команду p то память я так понимаю подгружается и становится видимой, а как сделать что бы сразу было всё видно?
     
  4. Aids

    Aids New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2007
    Сообщения:
    275
    как подгрузить память?
     
  5. Mika0x65

    Mika0x65 New Member

    Публикаций:
    0
    Регистрация:
    30 июл 2005
    Сообщения:
    1.384
  6. Aids

    Aids New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2007
    Сообщения:
    275
    Mika0x65
    делаю так
    .pagein 401000
    просит нажать g. Нажимаю и всё я уже не на точке останова. Да и по адресу этому ??????
     
  7. Aids

    Aids New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2007
    Сообщения:
    275
    Нейжели никто не подскажет?
     
  8. Mika0x65

    Mika0x65 New Member

    Публикаций:
    0
    Регистрация:
    30 июл 2005
    Сообщения:
    1.384
    Думаю, есть смысл поставть аппаратную точку останова на этот адрес, после .pagein остановится и страница будет загружена. 0xCC в этом случае работать не будет.
     
  9. Aids

    Aids New Member

    Публикаций:
    0
    Регистрация:
    30 ноя 2007
    Сообщения:
    275
    Mika0x65
    у меня итак аппаратная точка останова ba e 1 401000, виноват что не уточнил детали
     
  10. 0x6b65

    0x6b65 Забанен

    Публикаций:
    0
    Регистрация:
    8 окт 2009
    Сообщения:
    92
    Aids
    Команду .pagein для памяти UM-процесса нужно делать с параметром /p