커널모드에서는 lm 명령어로 로드된 프로세스의 주소를 확인하면 되고
유저모드에서는 !dh 명령어로 "Import Address Table Directory" Offset을 찾는다.
dps 명령을 통해 위에서 찾은 주소값을 입력하면 IAT 목록을 확인할 수 있다.
kd> dps 00401000
00401000 7c82134b kernel32!GetWindowsDirectoryA
00401004 7c81cafa kernel32!ExitProcess
00401008 7c8260aa kernel32!DnsApiSetDebugGlobals
0040100c 7c809bd7 kernel32!CloseHandle
00401010 7c80be46 kernel32!lstrlenA
00401014 7c810e17 kernel32!WriteFile
00401018 7c80bcf9 kernel32!SizeofResource
0040101c 7c831ca8 kernel32!SetFileTime
00401020 7c83553c kernel32!LocalFileTimeToFileTime
00401024 7c810bac kernel32!SystemTimeToFileTime
00401028 7c801a28 kernel32!CreateFileA
0040102c 7c80a045 kernel32!LoadResource
00401030 7c80bf19 kernel32!FindResourceA
00401034 7c80be91 kernel32!lstrcpyA
00401038 7c80bb31 kernel32!lstrcmpiA
0040103c 7c93fe10 ntdll!RtlRestoreLastWin32Error
00401040 7c93fe01 ntdll!RtlGetLastWin32Error
00401044 7c834d59 kernel32!lstrcatA
00401048 7c814f7a kernel32!GetSystemDirectoryA
이런식으로...
참고 -
http://tomsreversing.com/2013/03/11/viewing-imports-table/
'툴 정보 및 사용법 > WinDBG' 카테고리의 다른 글
| 링크)windbg를 이용한 언패킹 (0) | 2017.08.16 |
|---|---|
| Symbol 안맞아서 볼 수 없을때 (0) | 2014.07.18 |
| bp gethostbyname (0) | 2013.07.15 |
| windbg (호스트 win7) xp 명령어 안될때 (0) | 2013.07.05 |
| 명령줄에서 심볼로드 (0) | 2012.10.24 |
