2,644
社区成员
发帖
与我相关
我的任务
分享技术问题,望解答!注册表头文件(windbg调试):详见帖中
首先声明: 不是windows ce平台
问题如下:
实验:
1 用winHex打开一个HIVE文件,看看其里面的内容
2了解与注册表有关的几个结构
用命令 dt nt!*cm*
这样就会列出一大堆数据结构出来,关于每个数据结构是怎样的,自己再dt看
比较重要的有
(HBASE_BLOCK) NT!_CMHIVE NT!_CMHIVE NT!_CM_KEY_HASH NT!_CM_KEY_BODY NT!_CM_KEY_NODE NT!_CM_KEY_VALUE NT!_CM_KEY_SECURITY
NT!_CM_KEY_CONTROL_BLOCK
我首先在win pe 下拷贝出注册表的system文件,然后用winhex查看,但是windbg怎么用???
本机attach的system文件没有权限访问,我只能用拷贝出的system文件,可是第二步怎么实现,windbg怎么用?期待大虾
问题如下:
实验:
1 用winHex打开一个HIVE文件,看看其里面的内容
2了解与注册表有关的几个结构
用命令 dt nt!*cm*
这样就会列出一大堆数据结构出来,关于每个数据结构是怎样的,自己再dt看
比较重要的有
(HBASE_BLOCK) NT!_CMHIVE NT!_CMHIVE NT!_CM_KEY_HASH NT!_CM_KEY_BODY NT!_CM_KEY_NODE NT!_CM_KEY_VALUE NT!_CM_KEY_SECURITY
NT!_CM_KEY_CONTROL_BLOCK
我首先在win pe 下拷贝出注册表的system文件,然后用winhex查看,但是windbg怎么用???
本机attach的system文件没有权限访问,我只能用拷贝出的system文件,可是第二步怎么实现,windbg怎么用?期待大虾
...全文
请发表友善的回复…
发表回复
MoXiaoRab 2009-09-27
- 打赏
- 举报
看system文件?什么意思?sys文件?
xuelong_zl 2009-09-27
- 打赏
- 举报
恩??下个windbg或是kd,即支持内核调试的ring0 级调试器就可以了,你可以搜一下kd或是windbg的内核级调试方法,看了这些资料后你应该就会了。操作就是在kd或是windbg在内核调试状态下输入dt一类的命令就可以了......
