WindbgでネイティブAPIの最後のいくつかの命令を逆アセンブルします。これをどうやって行うのですか?例えばWindbgでネイティブAPIの最後のいくつかの命令を解体するには?
、私はそれを行うのですかどのように、Windbgの中にカーネルモードで午前KiSystemServiceのAPIの最後のいくつかの指示を逆アセンブルしたいですか? APIのサイズを表示する方法があるかどう
また、最後の命令を表示することが可能であろう。
uは、NT!KiSystemService
は私にアセンブリ言語コードの約10行を提供します。
uは、NT!KiSystemService L100は
これは私のシステムサービスディスパッチルーチンの多くのコードが表示されます。しかし私の目的は、最後のいくつかの指示を見ることです。
ありがとうございました。
UF NT!KiSystemService
だけの機能を分解しようとします。最適化の機能なしdoes not have chunks場合のx86 .fnent上
は、関数のサイズを表示します/ PARAMのない、それは地元の人々 プロローグの大きさと機能 の開始オフセットの/何を取らない) あなたは、単に(オフセット開始時に分解し始めることができます+サイズ - X)
LKD> .fnent NT NtCreateProcessEx デバッガの機能エントリ00ca5b70!:NT (805c73ea)NtCreateProcessEx | (805c7476)NT PsCreateSystemProcess 完全一致:! NT NtCreateProcessEx =
OffStart:!000f03ea ProcSize:0x86で プロローグ:から0xC PARAMS:0n9(0x24をバイト) ローカル:0n7(0x1cにバイト) 非FPO x64 FPO_DATA is not available instead IMAGE_FUNCTIOn_ENTRY上
はあなたが詳細を取得するためにおくつろぎInforamtionを見てする必要があるかもしれません .fnentによって返されます