本帖最后由 ICEY 于 2022-8-31 21:58 编辑
Ntoskrnl_Viewer X64
本项目含三个模块 :
1.驱动模块 (编译后的驱动需要和EXE放在同一文件夹)
2.用户模块
3.成品模块(驱动已签名)
功能 function:
可在不开启测试模式和WinDbg本地调试的情况下,以符号化的形式浏览本地内存!
不管是否为导出函数、未导出函数、系统内核变量、标志,只要在PDB文件中的符号,都能浏览其内存。
只支持X64系统,理论上支持任何版本(只要微软公开了此版本的PDB)
Windows 10:
Windows 11:
目前已实现的命令 :
“db” "dw" "dd" "dq",这四种功能同WinDbg,例如 :(也可使用 l? 指定输出的个数,最大限度100 例: dq KeServiceDescriptorTable l4 效果如上图1)
### ”d“可通过符号读取内存,也可通过内存读取地址:(读取非法地址会报错)
“x” 同WinDbg :
退出需要通过命令"quit"。
不然驱动无法正常卸载!
此次更新 :
由于有PG、读写权限的原因,测试版先不提供写功能。
测试版 只支持X64系统,理论上支持任何X64版本(只要微软公开了此版本的PDB)
以后可能会更新 “eb、ew、ed、eq”命令。
会逐渐向 windbg本地调试可实现的功能靠近!
注意:
1.EXE和SYS需要放在同一目录下。
2.第一次运行会自动下载当前系统匹配的PDB文件(可能会有点久),如果无法下载,应该是网络问题。
3.管理员身份运行EXE,因为要安装内核服务。
2022年8月31日21点50分更新:修复了小BUG,去除了“需要开启ROOT权限才可使用虚拟地址访问内存”,增加了“通过地址读取内存时”的地址效验,若是非法地址则不读取,防止因访问权限引起的蓝屏。
项目地址:https://github.com/IcEy-999/Ntoskrnl_Viewer
| 
发表于 2022-8-27 23:11
,支持下。