Чтение памяти загруженного модуля ядра

Тема в разделе "WASM.NT.KERNEL", создана пользователем Leksey, 7 апр 2007.

Страница 2 из 2
  1. gilg

    gilg New Member

    Публикаций:
    0
    Регистрация:
    19 май 2005
    Сообщения:
    527
    Leksey
    Какая система? Под WinXP и старше секция INIT полностью выгружается из адресного пространства после загрузки любого модуля ядра. Посмотри tcpdump`ом, какая секция у тебя начинается по смещению 194000 (<адрес падения> - <база ядра>). (Файл из которого загружено ядро - по lm в WinDbg).
    Корректный способ дампа ядра - вручную анализировать таблицу секций и дампить всё, кроме INIT, т.к. на невыделенной ядерной памяти не спасет никакой SEH-фрейм.
     
    gilg, 9 апр 2007
    #21
  2. n0name

    n0name New Member

    Публикаций:
    0
    Регистрация:
    5 июн 2004
    Сообщения:
    4.336
    Адрес:
    Russia
    gilg
    Я юзал MmIsAddressValid. Вроде спасало ;)
     
    n0name, 9 апр 2007
    #22
  3. gilg

    gilg New Member

    Публикаций:
    0
    Регистрация:
    19 май 2005
    Сообщения:
    527
    n0name
    Сто пудов. Но проверять придется адрес в начале кажных 4 кб - не технологично :)
     
    gilg, 9 апр 2007
    #23
Страница 2 из 2