标题: Windows网络数据流跟踪技巧(2)
http://scz.617.cn/windows/200504221327.txt
这次说说跟踪IP报文处理流程。假设在SoftICE中跟踪,为了使stack命令的输出更有 可读性,一般加载如下符号表:
ntoskrnl.nms tcpip.nms
下例表示源IP为192.168.7.250、目标IP为192.168.7.151时命中:
:bpx tcpip!IPRcvPacket if ((esp+8)+c)==FA07A8C0&&((esp+8)+10)==9707A8C0
最有意义的事实在于tcpip!IPRcvPacket()是Windows系统真正开始处理IP报文的地方, 因此在tcpip!IPRcvPacket()入口处修改了IP报文,将影响所有上层处理。