bugfix> scripting > 投稿

構造の下で特定の値を再帰的に検索するスクリプトを作成できますか? 私が考えることができる1つの手動の方法(そして時間がかかる)は、「dt -r」でログファイルを作成し、それを手動で検索することです。

回答 1 件
  • 再帰的に値を検索するとはどういう意味ですか?

    dt -rは構造内の構造に従います。そのため、アドレスは連続しません。

    あなたはシンプルなsコマンド このような限られたスペース内での検索

    kd> r? $t0 = sizeof(nt!_EPROCESS)
    kd> ? @$t0
    Evaluate expression: 704 = 000002c0
    kd> r? $t1 =  @@masm(@$proc)
    kd> ? @$t1
    Evaluate expression: -2063606960 = 84ffdb50
    
    kd> $$ @$proc is pointer to current process in kernel mode
    let us search for char 'k' within this range
    kd> s -b @$t1 l?@$t0 'k'
    84ffdcbc  6b 64 2e 65 78 65 00 00-00 00 00 00 00 00 00 02  kd.exe..........
    kd> dt nt!_EPROCESS ImageFileName @$proc
       +0x16c ImageFileName : [15]  "kd.exe"
    kd> ? @$t1+0x16c
    Evaluate expression: -2063606596 = 84ffdcbc
    kd>
    
    

あなたの答え