- .process /r /p ffffe381a583b080 -> 해당 위치로 컨텍스트 설정
- .process /i ffff830f9d782380 -> 해당 위치로 컨텍스트 설정
- !process 0 0 -> 모든 프로세스 간단히
- !process 주소 7 -> 상세보기
- !dlls 확장자 는 로드된 모든 모듈 또는 지정된 스레드 또는 프로세스가 사용 중인 모든 모듈의 테이블 항목을 표시
- lmf -> 사용중인 모듈 출력
- lm m [모듈 이름]
- !handle 0 7 [프로세스주소] [파일타입ex. File, Section] -> 프로세스가 가진 핸들 출력
- r [레지스터]=[변경할 값] -> 레지스터 값 변경
- !db, !dc, !dd, !dp, !du, and !dw -> To read from a physical address, use the 물리메모리
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/debugger-reference
Debugger Reference - Windows drivers
Debugger Reference
docs.microsoft.com
'ETC' 카테고리의 다른 글
| technique (3) | 2022.07.30 |
|---|---|
| McAfee arbitrary file write Elevation of Privilege (CVE-2019-3582) (0) | 2022.06.13 |
| How to privilege escalation from admin to system (0) | 2022.06.08 |
| Kernel Memory Read/Write Primitive using NalDrv.sys (0) | 2022.05.17 |
| WINAPI 정리 (0) | 2022.05.11 |