【开源】Ntoskrnl_Viewer X64:可在非测试模式下符号化浏览内核内存
本帖最后由 ICEY 于 2022-8-31 21:58 编辑# Ntoskrnl_Viewer X64
## 本项目含三个模块 :
1.驱动模块 (编译后的驱动需要和EXE放在同一文件夹)
2.用户模块
3.成品模块(驱动已签名)
## 功能 function:
可在不开启测试模式和WinDbg本地调试的情况下,以符号化的形式浏览本地内存!
不管是否为导出函数、未导出函数、系统内核变量、标志,只要在PDB文件中的符号,都能浏览其内存。
只支持X64系统,理论上支持任何版本(只要微软公开了此版本的PDB)
###### Windows 10:
###### Windows 11:
## 目前已实现的命令 :
### “db” "dw" "dd" "dq",这四种功能同WinDbg,例如 :(也可使用 l? 指定输出的个数,最大限度100例:dq KeServiceDescriptorTable l4效果如上图1)
### ”d“可通过符号读取内存,也可通过内存读取地址:(读取非法地址会报错)
### “x” 同WinDbg :
### 退出需要通过命令"quit"。
不然驱动无法正常卸载!
## 此次更新 :
###### 由于有PG、读写权限的原因,测试版先不提供写功能。
###### 测试版 只支持X64系统,理论上支持任何X64版本(只要微软公开了此版本的PDB)
以后可能会更新 “eb、ew、ed、eq”命令。
会逐渐向 windbg本地调试可实现的功能靠近!
注意:
1.EXE和SYS需要放在同一目录下。
2.第一次运行会自动下载当前系统匹配的PDB文件(可能会有点久),如果无法下载,应该是网络问题。
3.管理员身份运行EXE,因为要安装内核服务。
2022年8月31日21点50分更新:修复了小BUG,去除了“需要开启ROOT权限才可使用虚拟地址访问内存”,增加了“通过地址读取内存时”的地址效验,若是非法地址则不读取,防止因访问权限引起的蓝屏。
项目地址:https://github.com/IcEy-999/Ntoskrnl_Viewer
学习了,先收藏 这个厉害了!感谢分享 膜拜大佬学习一下{:1_899:} 感谢分享 Ntoskrnl最近这几个字母经常在眼前晃,正打算好好学习下,感谢楼主分享工具! 感谢分享,很实用 感谢分享 很强{:1_921:},支持下。 谢谢分享,大神代码分享真强