Windbg 유용한 커널 명령어 정리

>!drvobj <드라이버 이름> //특정 드라이버 오브젝트의 포이터 주소를 이름으로 구하고자 할때 유용

ex)!drvobj atapi 3 //driver entry 및 dispatch routines 정보까지 나온다. 제일 좋음

>dt _driver_object <드라이버 오브젝트 포인터 주소> //드라이버에 대한 자세한 정보

//아래는 해당 정보도 볼 수 있다는 차원에서..

>dt _IRP

>dt _IO_STACK_LOCATION

>dt nt!SCSI_REQUEST_BLOCK //심볼이 없다..

>dt _DRIVER_OBJECT

>!irp FFBC9318 //??

>!devstack

>dt _list_entry

>x nt!KeServiceDescriptorTable //x 명령으로 N api 주소만 알고자 할 때 유용할 듯

8055c220 nt!KeServiceDescriptorTable = <no type information>

>uf nt!ZwMapViewOfSection //해당 함수의 어셈코드를 보여줌, 코드 패치되었나 확인할 때 유용

nt!ZwMapViewOfSection:

804def2c b86c000000      mov     eax,6Ch

804def31 8d542404        lea     edx,[esp+4]

...

>dds KeServiceDescriptorTable //dds 명령으로 이름을 같이 볼 수 있다.

8055c220  804e46a8 nt!KiServiceTable //N api list 포인터 주소

8055c224  00000000

8055c228  0000011c //N api list size

8055c22c  80512088 nt!KiArgumentTable

8055c230  00000000

8055c234  00000000

...

>dds 804e46a8 L11C //역시 dds 명령, L11C는 size(=>dds nt!KiServiceTable)

804e46a8  80591df5 nt!NtAcceptConnectPort

...

>lm d t //로드, 언로드된 모듈 리스트 정보

>ln CLASSPNP!ClassInternalIoControl //?

>ed 81b7dfac f99e0fc3 //메모리 변경 같음

추가..(2012-12)

>dt _object_type //