Windbg对windows api调用的逆向分析

用内核的调试方式去调试虚拟机

process 0 0 winlogon.exe

.process /p 817152a8 切换进程

.reload /f /user 加载用户态的符号

.reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令)

.process /i /p 817152a8 非入侵式的attach

Bubp断点

断到windows api后找到具体变量的栈地址(事情用ida分析),用dt命令查看输入参数的内容

posted @ 2012-01-13 15:25  ahuo  阅读(1386)  评论(0编辑  收藏  举报