1

我正在尝试使用 vmware 和 windbg 进行内核调试。我已经连接了两个操作系统并且所有符号都已成功加载。如果我想在内存中查看我的驱动程序,我该如何反汇编它?我试过 lm 命令和 lmvm 命令

kd> lmvm comint32
start    end        module name
88da9000 88daf000   comint32   (private pdb symbols)  C:\Program Files (x86)\Debugging Tools for Windows (x86)\sym\comint32.pdb\653387D894B4412FA9E30659E58DD47C1\comint32.pdb
    Loaded symbol image file: comint32.sys
    Image path: \SystemRoot\System32\Drivers\comint32.sys
    Image name: comint32.sys
    Timestamp:        Thu Apr 11 20:10:55 2013 (51677B3F)
    CheckSum:         0000CACF
    ImageSize:        00006000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
4

1 回答 1

1

x comint32!*应该转储模块的所有符号及其在内存中的地址。

然后您可以使用u命令(使用名称(例如comint32!DriverEntry)或函数的地址作为参数)反汇编到主窗口中,或者您可以打开反汇编窗口并将名称/地址粘贴到其中并浏览反汇编代码那里。

有关详细信息,请参阅您的 windbg 参考。

于 2013-04-12T06:40:49.503 回答