标题: Windows网络数据流跟踪技巧(3)
http://scz.617.cn/windows/200504261049.txt
这次说说跟踪ICMP报文处理流程。假设在SoftICE中跟踪,为了使stack命令的输出更 有可读性,一般加载如下符号表:
ntoskrnl.nms tcpip.nms
下例表示源IP为192.168.7.250、目标IP为192.168.7.151时命中:
:bpx tcpip!ICMPRcv if (esp+8)==9707A8C0&&(esp+c)==FA07A8C0
最有意义的事实在于tcpip!ICMPRcv()是Windows系统真正开始处理ICMP报文的地方, 因此在tcpip!ICMPRcv()入口处修改了ICMP报文,将影响所有上层处理。