我想在Windbg中反汇编本地API的最后几个指令。我该怎么做呢?
例如,我在Windbg内核模式,想要反汇编的KiSystemService API的最后几个指令,我该怎么做?
另外,如果有一种方法可以查看API的大小,则可以查看最后一条指令。
u nt !KiSystemService
给我大约10行汇编语言代码。
u nt !KiSystemService L100
这将显示系统服务调度例程的更多代码。但我的目的是查看最后几条指令。
谢谢。
超滤元!KiSystemService
将尝试只反汇编函数。
在x86 .fnent上将显示函数大小/参数的个数/local的个数函数的前导和偏移开始的大小如果没有功能does not have chunks由于优化)你可以在(offset start + size - X)
> .fnent nt!NtCreateProcessEx调试器函数条目00ca5b70用于:(805 c73ea)元!NtCreateProcessEx | (805c7476) nt!PsCreateSystemProcess精确匹配:nt !NtCreateProcessEx =
OffStart: 000 f03eaProcSize: 0 x86前言:0 xc参数:0n9 (0x24字节)Locals: 0n7 (0x1c字节)Non-FPO
x64 FPO_DATA is not available instead IMAGE_FUNCTIOn_ENTRY上的将由.fnent返回您可能需要查看UnWind information以获取详细信息