有人能告诉我如何将 .sys 文件正确加载到 Immunity Debugger 中吗?因为当我将驱动程序加载到 Imm. 调试器然后我收到无法找到 HAL.dll 和 Imm.dll 的消息。调试器找不到入口点。
我在Loading a Driver in Immunity 中尝试了解决方案,但这没有帮助。
我不知道该怎么办。
最好的祝福,
将 .sys 文件加载到 Immunity Debugger 中
逆向工程
免疫调试器
司机
2021-07-03 23:42:30
1个回答
.sys 扩展名通常用于驱动程序。虽然它们是相同的 PE 可执行文件,但它们在内核模式下运行,因此使用内核执行程序本身公开的内核模式 API ( ntoskrnl.exe ) 或内核模式 DLL,例如 hal.dll。AFAIR 有人制作了假的 DLL 来模拟足够的内核 API,以在像 Olly 这样的用户模式调试器中实现驱动程序的解包,但我没有方便的链接。
其它你可能感兴趣的问题