找不到Symbol _TCP_ENDPOINT
找不到Symbol _TCP_ENDPOINT
提问于 2020-09-19 21:29:57
我一直在读“内存取证的艺术”,在第11章第327页,他们添加了Windbg dt(_TCP_ENDPOINT) The Art Of Memory Forensics - _TCP_ENDPOINT的输出
我一直在尝试用Windbg获得相同的结果,但我总是得到相同的错误:
dt(_TCP_ENDPOINT)
Symbol _TCP_ENDPOINT not found.即使我加载了tcpip.sys符号文件
1: kd> lml
start end module name
.......
fffff805`3bfc0000 fffff805`3c2a9000 tcpip (pdb symbols) C:\ProgramData\Dbg\sym\tcpip.pdb\4EF7BCB071F28E1DAAAA937D59B39D121\tcpip.pdb在查看其他内核结构时,我不会遇到这种错误,
1: kd> dt(_EPROCESS)
ntdll!_EPROCESS
+0x000 Pcb : _KPROCESS
+0x2e0 ProcessLock : _EX_PUSH_LOCK
......我做错了什么?
Stack Overflow用户
回答已采纳
发布于 2020-09-20 23:25:17
书中的输出来自Volatil2.7中的volshell插件的dt()命令,而不是Windbg。
就像@dxiv说的,_TCP_ENDPOINT是波动性使用的覆盖。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/63969362
复制相关文章
相似问题
腾讯云开发者
