从 Windows 故障转储中获取 MSR

逆向工程 视窗 调试器 风袋 倾倒
2021-07-09 00:58:03

我正在分析 Windows 机器上的故障转储 BSOD,我怀疑某些恶意软件正在对 MSR 执行某些操作,但看起来它们中的任何一个都无法通过 wrmsr 和 rdmsr 命令使用。有没有其他方法可以提取它们?我做了一些快速搜索,没有看到任何有用的东西。

谢谢

1个回答

更新于 2014-12-08

正如http://microsoft.public.windbg.narkive.com/7opF4257/kernel-dump-rdmsr 中所讨论的,MSR 不会保存在故障转储中。但是您可以创建一个驱动程序来注册系统错误检查回调(通过KeRegisterBugCheckReasonCallback())并在调用时转储感兴趣的 MSR。

其它你可能感兴趣的问题
上一篇Ollydbg - 从模块中删除分析 下一篇ELF 文件格式 两个终止空双字朝向 0xc0000000?