windbg实验1

沙老师的作业，，，
1.启动本地内核调试模式：file—kernel dbg—-local 
2.查看加载的驱动模块—–lm 
3.显示调试器当前运行进程信息—-！process 
4.dd xxx 进xxx看内容 
5.dds xxx 打印内存地址上的二进制值同时自动搜索二进制值对应的符号 
6.ssdt表是包含R3和R0层的api函数地址，这个地址进行修改就可以完成hook，ssdt还有一个叫shadow ssdt 
7.dd nt!keServiceDescriptorShadow可以查看keServiceDescriptorShadow结构体，这个结构体前4个参数是ssdt shadow的相关参数，后4个事ssdt参数，其中第1个就是ssdt地址，dds xxx就可以查看了 
8.!pcr 扩展显示指定处理器上的处理器控制域(Processor Control Region (PCR))的当前状态，包括gdt地址，idt地址等信息 
9.！process 0 0——.process xxx（刚刚看的explorer地址）—.reload加载pdb 
10.!idt 2e 显示idt 2e陷阱门，!idt简短显示所有idt 
11.u显示汇编代码