Question

В книге «Руткит Арсенал» на стр. 84 (Глава 3) упоминается:

..., мы можем просмотреть содержимое регистры дескриптора целевой машины используя команду с маской 0x100: kd> rM 0x100

и параграф ниже:

Обратите внимание, что та же самая задача может быть достигается путем указания GDTR компоненты явно: kd> r gdtr ....

Я запускаю Windbg на своей Win XP (внутри VMWare) и выбираю «Отладка ядра -> Локальная». Моя проблема в случае первой команды, ошибки windbg с:

lkd> rM 0x100 ^ Операция не поддерживается в текущем сеансе отладки «rM 0x100»

и во второй команде:

lkd> r gdtr ^ Ошибка регистрации в 'r gdtr'

Может кто-нибудь направить меня?

snoone · Answer 1 · 13 мая 2010

Правильно, вы не можете просматривать регистры в локальном сеансе отладки ядра. LiveKD работает, и вы также можете получить адрес косвенно через PCR (! Pcr).

-Скотт

Mehdi Asgari · Answer 2 · 05 мая 2010

Я думаю, что нашел решение: Используйте два компьютера для отладки ядра вместо локальной отладки ядра. (Я использовал VMWare и отлаживаю через COM-порт / именованный канал) Я думаю, почему эта возможность / функция (локальная отладка ядра) существует, если она не завершена?

Как просмотреть значение GDTR?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как просмотреть значение GDTR?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы