Question

我一直在阅读第327页第11章的“内存取证的艺术”，他们添加了Windbg dt(_TCP_ENDPOINT) The Art Of Memory Forensics - _TCP_ENDPOINT

的输出。

我一直在尝试使用Windbg获得相同的结果，但我一直收到相同的错误：

dt(_TCP_ENDPOINT)
Symbol _TCP_ENDPOINT not found.

即使我加载了tcpip.sys符号文件

1: kd> lml
start             end                 module name
....... 
fffff805`3bfc0000 fffff805`3c2a9000   tcpip      (pdb symbols)          C:\ProgramData\Dbg\sym\tcpip.pdb\4EF7BCB071F28E1DAAAA937D59B39D121\tcpip.pdb

在查看其他内核结构时，我没有得到这种错误，

1: kd>  dt(_EPROCESS)
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x2e0 ProcessLock      : _EX_PUSH_LOCK
   ......

我在做什么错了？

Answer 1

这本书的输出来自波动率2.7中volshell插件的dt（）命令，而不是Windbg。

就像@dxiv所说的那样，_TCP_ENDPOINT是Volatility使用的叠加层。

找不到符号_TCP_ENDPOINT

1 个答案: