存档

文章标签 ‘符号表’

微软未公开结构体是这样找到的

2011年2月16日 没有评论

对于刚入门Ring0的人往往对微软未公开结构感到好奇。既然连微软都没有在成型的文档中发布这些结构的组成,那么为什么网上还有那么多不成文档的网页记载着这些结构体呢?
也许有人会想到WRK。但是,WRK仅仅是执行体这一部分,而且,早在WRK发行之前那些结构体就被别人公布了。
其实这是通过微软的调试利器WinDbg来实现的(WinDbg的使用这里不再啰嗦)。这里需要下载到Windows系统的符号表,可以去微软的网站打包下载,也可以通过WinDbg来按需临时下载。有了符号表之后,通过WinDbg的dt命[......]

继续阅读