.imgscan (Localizar cabeçalhos de imagem)
O comando .imgscan examina a memória virtual em busca de cabeçalhos de imagem.
.imgscan [Options]
Parâmetros
Options Qualquer uma das seguintes opções:
/r **** Intervalo
Especifica o intervalo a ser pesquisado. Para obter mais informações sobre a sintaxe, consulte Endereço e sintaxe de intervalo de endereços. Se você especificar somente um endereço, o depurador pesquisará um intervalo que comece nesse endereço e se estenda 0x10000 bytes.
/l
Carrega informações do módulo para qualquer cabeçalho de imagem localizado.
/v
Exibe informações diversas.
Ambiente
| Item | Descrição |
|---|---|
| Modos | Modo de usuário, modo kernel |
| Destinos | Ao vivo, despejo de memória |
| Plataformas | Tudo |
Comentários
Se você não usar o parâmetro /r, o depurador pesquisará todas as regiões de memória virtual.
O comando .imgscan exibe todos os cabeçalhos de imagem encontrados e o tipo de cabeçalho. Os tipos de cabeçalho incluem cabeçalhos PE (Executável Portátil). e cabeçalhos Microsoft MS-DOS MZ.
O exemplo a seguir mostra o comando .imgscan command.
0:000> .imgscan
MZ at 00400000, prot 00000002, type 01000000 - size 2d000
MZ at 77f80000, prot 00000002, type 01000000 - size 7d000
Name: ntdll.dll
MZ at 7c570000, prot 00000002, type 01000000 - size b8000
Name: KERNEL32.dll