.imgscan (Rechercher des en-têtes d’image)
La commande .imgscan analyse la mémoire virtuelle pour trouver des images d'en-tête.
.imgscan [Options]
Paramètres
Options L'une des options suivantes :
/r **** Range
Indique la plage dans laquelle effectuer la recherche. Pour plus d’informations sur la syntaxe, consultez la syntaxe d’adresse et de plage d’adresses. Si vous spécifiez une seule adresse, le débogueur recherche une plage qui commence à cette adresse et s'étend sur 0x10000 octets.
/l
Charge les informations du module pour tout en-tête d’image trouvé.
/v
Affiche les informations détaillées.
Environnement
Élément | Description |
---|---|
Modes | Mode utilisateur, mode noyau |
Targets | Live, vidage de la mémoire |
Plateformes | Tous |
Notes
Si vous n’utilisez pas le paramètre /r, le débogueur recherche toutes les régions de mémoire virtuelle.
La commande .imgscan affiche tous les en-têtes d’image trouvé ainsi que le type d’en-tête. Les en-têtes peuvent être de type Portable Executable (PE) ou Microsoft MS-DOS MZ, entre autres.
L’exemple suivant montre la sortie de la commande .imgscan.
0:000> .imgscan
MZ at 00400000, prot 00000002, type 01000000 - size 2d000
MZ at 77f80000, prot 00000002, type 01000000 - size 7d000
Name: ntdll.dll
MZ at 7c570000, prot 00000002, type 01000000 - size b8000
Name: KERNEL32.dll