代码中首先判断系统主版本windows 10 18363如果是则执行匹配,只匹配.text也就是代码段中的数据,当遇到0xcc时则取消继续,否则继续执行枚举 , 程序输出效果如下所示 。
文章插图
在WinDBG中输入命令!dh 0xfffff8007f600000解析出内核PE头数据 , 可以看到如下所示,对比无误 。
文章插图
推荐阅读
- 驱动开发:内核枚举Minifilter微过滤驱动
- Vue3 JS 与 SCSS 变量相互使用
- 24 Node.js躬行记——低代码
- 驱动开发:内核枚举PspCidTable句柄表
- 驱动开发:内核枚举DpcTimer定时器
- envoy开发调试环境搭建
- 如何更新电脑的显卡驱动(笔记本显卡驱动要不要更新)
- 你Win7系统如何将显卡驱动更新到最新版本
- 云原生时代的DevOps平台设计之道
- Taurus.MVC 微服务框架 入门开发教程:项目部署:7、微服务节点的监控与告警。