Бегло просматривая изменения в новой версии отладчика (10.0.15063.0), глаз зацепился за два новшества:
- В директории отладчика появилась новая KernelDumpDecrypt.exe. Судя по всему, в Windows Server появилась возможность шифровать дампы - About dump encryption
- Наконец-то появилось встроенное расширение
!ioctldecode.
Теперь можно писать так (для x64 целевой машины):
1: kd> g nt!NtDeviceIoControlFile; !ioctldecode dwo(@rsp+(6*8)) IOCTL_DISK_GET_DRIVE_LAYOUT_EX Device Type : 0x7 (FILE_DEVICE_DISK) Method : 0x0 METHOD_BUFFERED Access : FILE_ANY_ACCESS Function : 0x14
ΞρεΤΙκ