1.用windbg+vmware 内核调试底下,用u反汇编命令 提示 Memory access error in 'u ntdll!LdrAccessOutOfProcessResource',除掉这个API之外,ntdll底下的api基本上都不能看源码,不知道为什么
在用户态底下是可以调试的。
2.在windbg调试下,有没有办法能够查找到一个进程里面 哪些地方调用了某个API
比如 ntdllAccessOutOfProcessResource 这个API,我想看哪个函数调用了这个API,有没有办法。
在用户态底下是可以调试的。
2.在windbg调试下,有没有办法能够查找到一个进程里面 哪些地方调用了某个API
比如 ntdllAccessOutOfProcessResource 这个API,我想看哪个函数调用了这个API,有没有办法。
用u命令反汇编会导致
Memory access error in 'u ntdll!LdrAccessOutOfProcessResource'
2. windbg调试下查找到一个进程里面 哪些地方调用了某个API,可以直接Bu该API,调试即可。
你所指的Driver空间,是指的 内核代码映射到用户进程的虚拟地址空间?(>0x80000000)
用windbg内核调试时,列出被加载的模块,ntdll的确被加载了,而且不是延迟加载(deferred),
另外,内核代码的优先级是Ring0,比用户代码的优先级要大,但为啥会反汇编不了ntdll呢。
这个时候如果驱动没有attach到user环境下,是不能u用户空间的。因为当前的进程上下文里的页目录没有映射用户空间的页面文件。另外反汇编一个地址和优先级无关,只要能直接读取就能反。