未找到符号 _TCP_ENDPOINT

【问题标题】:Symbol _TCP_ENDPOINT not found未找到符号 _TCP_ENDPOINT
【发布时间】:2021-01-06 04:42:34
【问题描述】:

我一直在阅读“记忆取证的艺术”,在第 11 章第 327 页他们添加了 Windbg 的输出 dt(_TCP_ENDPOINT) The Art Of Memory Forensics - _TCP_ENDPOINT

我一直在尝试使用 Windbg 获得相同的结果,但我一直收到相同的错误:

dt(_TCP_ENDPOINT)
Symbol _TCP_ENDPOINT not found.

即使我加载了 tcpip.sys 符号文件

1: kd> lml
start             end                 module name
....... 
fffff805`3bfc0000 fffff805`3c2a9000   tcpip      (pdb symbols)          C:\ProgramData\Dbg\sym\tcpip.pdb\4EF7BCB071F28E1DAAAA937D59B39D121\tcpip.pdb

我在查看其他内核结构时没有遇到这种错误,

1: kd>  dt(_EPROCESS)
ntdll!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x2e0 ProcessLock      : _EX_PUSH_LOCK
   ......

我做错了什么?

【问题讨论】:

  • _TCP_ENDPOINT 似乎是在波动率的 netscan 插件中定义的覆盖。您不会在 tcpip.sys 中找到它,因为它从一开始就没有。

标签: windows memory windbg crash-dumps volatility


【解决方案1】:

书中的输出来自 Volatility 2.7 中 volshell 插件的 dt() 命令,而不是 Windbg。

就像@dxiv 所说,_TCP_ENDPOINT 是 Volatility 使用的叠加层。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2012-04-26
    • 2021-12-17
    • 2021-07-18
    • 2014-08-31
    • 2018-10-21
    • 2012-12-28
    • 2016-02-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode