注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

一个找native函数序号的调试脚本  

2014-01-13 12:45:31|  分类: 一些练习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

用于找native函数对应序号的调试脚本syscall.x如下:

r $t0=0
.while(@$t0!=12ff){
t
r $t0=wo(eip)
.if(@$t0=12ff){
u eip-a l4
.break
}
}


运行如下:

0:000> $><c:\temp\dbg\syscall.x

USER32!NtUserCallNoParam:
77d184c2 b842110000      mov     eax,1142h
77d184c7 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub
77d184cc ff12            call    dword ptr [edx]
77d184ce c20400          ret     4

0:000> $><c:\temp\dbg\syscall.x
ntdll!ZwQueryAttributesFile:
7c92d70e b88b000000      mov     eax,8Bh
7c92d713 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub
7c92d718 ff12            call    dword ptr [edx]
7c92d71a c20800          ret     8

0:000> $><c:\temp\dbg\syscall.x
ntdll!NtOpenThreadTokenEx:
7c92d67e b882000000      mov     eax,82h
7c92d683 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub
7c92d688 ff12            call    dword ptr [edx]
7c92d68a c21400          ret     14h

  评论这张
 
阅读(115)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017