windbg双机调试时对R3函数下断

最新推荐文章于 2024-02-28 18:54:37 发布
原创 最新推荐文章于 2024-02-28 18:54:37 发布 · 4.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#user #汇编 #image #c

在使用Windbg进行双机调试时,尝试对用户态函数下断点可能会遇到无法解析表达式的错误。解决这个问题需要先切换到用户环境。通过执行`!process 0 0 explorer.exe`找到目标进程,然后使用`.process /p /r <进程地址>`命令切换进程上下文并强制解码用户模块。加载用户符号后,才能正确设置和查看用户态函数的断点。

对于刚接触windbg的童鞋可能想在双机调试的环境下查看某个用户态函数的反汇编,可能会直接下直接断点,这是会产生如下提示的错误 
Bp expression ‘*******’ could not be resolvedadding deferred bp
这是因为没有切换到用户环境。
可依次执行如下命令
kd> !process 0 0 explorer.exe
PROCESS 81fff020  SessionId: 0  Cid: 0600    Peb: 7ffde000  ParentCid: 05f0
    DirBase: 048401c0  ObjectTable: e19d5188  HandleCount: 371.
    Image: explorer.exe

.process

最低0.47元/天 解锁文章
驱动程序的调试windbg双机调试
C++入门到放弃
10-26 9560
这篇博客是接着上一篇的,主要写一下配置好了双机调试环境之后,如何使用windbg调试自己开发的驱动程序。配置完了双机调试的环境以后,在主机使用windbg已经可以hook虚拟机的操作系统,如下图 可以看到我们的调试机已经hook住了虚拟机,这按Ctrl+Pause就可以使虚拟机的操作系统暂停运行。 输入g或者按F5可以使其恢复运行。这将想要调试的驱动程序安装在虚拟机OS中,就是把 De
关于Windbg双机调试以及VirtualKD+Windbg双机调试经验总结
輚至消亡
10-23 1799
终于吐血的VirtualKD双机调试环境终于成功了。看下下面的图,真的太坑了..... 之前用VirtualKD连虚拟机一直连不上,所有步骤我都检查了很多遍但还是有问题,我都怀疑我人生了,今天!!!! 就在3分钟前出现了如下的画面: 我第一次见到这个绿绿的圆点那么开心!!!! 现在来总结下,到底在这么长的一段间是什么问题困扰了我。其实都是非常小的问题。原因是: 我的VM15.5与VirtualKD版本不兼容.... 如果想要VirtualKD支持15.5及以上版本的VM就需要用更新的Virt
Windbg 内核态调试用户态程序然后下点正确触发方法(亲自实现发现有效)
如鹿渴慕泉水的专栏
02-21 2417
先开启真机内核态kernel调试!process 0 0 svchost.exe找到进程cid的地址然后进入.process /p  fffffa8032be2870然后.process /i; g再次中后继续一定要重新加载用户态调试符号.reload /f /user或者.process /r /p  fffffa8032be2870先下一个kernel32bp /p fffffa8032...
Windbg教程-调试非托管程序的基本命令中
weixin_33674976的博客
02-28 216
前面的文章调试非托管程序的基本命令上讲到如何在windbg里面启动一个程序并且加载调试符号文件。一旦符号文件加载完毕以后,就可以进行调试了,例如设置点,查看堆栈信息等等。   因为是刚刚启动程序(main函数还没有机会执行),可以查看源代码了解要设置点的地方。设置点可以使用bp、bu和bm来做,其中bp可以根据函数名、指令地址以及源代码文件地址来设置点。   bp命令是在设置...
64位内核开发第六讲,Windbg调试ring3跟Ring0.一起调试
weixin_30244681的博客
06-08 287
目录 驱动第六讲_Windbg连续调试Ring3.与Ring0 一丶Windbg调试 驱动第六讲_Windbg连续调试Ring3.与Ring0 一丶Windbg调试候我们调试一个程序.可以使用Windbg.但是如果我们想一个Windbg 调试一个Ring3.并且在调试一个...
以前写过的文章----用windbg内核模式调试用户态程序
weixin_33913377的博客
03-22 430
今天非常激动。。终于解决了我调试驱动非常头痛的问题。。。。 在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。 链接如下: http://bbs.driverdevelop.com/htm_data/125/0901/115354.html 高端调试的文章转载 http://advdbg.org/blogs/advdbg_system/ar...
驱动开发入门-之二:Win7x64 - WinDbg 双机调试环境搭建
10-14
综上所述,本文为读者详细讲解了如何在Windows 7 x64环境下搭建使用WinDbg进行驱动程序双机调试的开发环境,包括调试环境的必要性、调试工具WinDbg的介绍、双机调试环境的搭建方法,以及相关预装组件和工具的配置。...
windbg双机调试配置
04-15
### windbg双机调试配置详解 #### 一、Windbg简介 Windbg是Microsoft提供的一款功能强大的调试工具,主要用于Windows操作系统及其应用程序的调试工作。它不仅支持本地调试,还支持远程调试,即所谓的“双机调试”。...
Windbg 内核态调试用户态进程
4SecNet团队专栏
07-13 2840
之前写过双机调试环境的搭建,一般用来调试驱动这样内核态的东西,今天遇到一个问题,就是在内核态的情况下怎么给用户态的程序下点?也就是在内核态怎么调试用户态的程序,比如想要给CreateProcessW这个API下点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户态的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
在内核调试会话中设置用户态
农家小舍
05-14 1775
转:http://advdbg.org/blogs/advdbg_system/articles/1492.aspx   使用内核调试会话也可以执行一些用户态调试任务,比如向位于用户态的模块设置点。但这样做与使用用户态调试器有什么不同呢?我们就以向NTDLL.dll模块的ZwTerminateProcess函数(Stub)为例谈谈二者的区别。   区别一、在内核调试会话中设置这个点的“
R0与R3联调
zhuhuibeishadiao
03-31 2034
1:使用!process 0 0 获取用户空间的进程的信息 //这步之前已经给要调试的驱动加载符号了 !process 0 0 2:使用.process /p + 你需要调试的应用程序的EProcess地址,切换到应用程序的地址空间 .process /p 0x81a02af0 3:重新加载user程序的 PDB文件 (需在Windbg里设置好R3的符号和源代码)然后运行(不要在对话框里的
windbg 调试 r3 死循环
wowolook的专栏
08-29 3457
这两天调试一程序,
WinDBG从Ring3到Ring0跟踪CreateFileW的执行流程
sqzxwq的博客
09-03 2629
本次跟踪的系统版本: 调试机(宿主机):WIN7 64位旗舰版 目标机(虚拟机):WIN7 32位旗舰版 1、在虚拟机里打开一个记事本,然后Ctrl+Break中操作系统 2、在WinDBG中输入!process 0 0 notepad.exe查看记事本进程信息 3、在WinDBG中输入.process /i /p 进程内核对象地址,在本例中则应该输入.pr
windbg调试.net程序知识快速参考
最新发布
omage的专栏
02-28 1100
最近因团队下一个开发工程师的WPF应用存在偶尔卡顿的现象,重新温习了下windbg的知识,此次记录备忘下,以下是整理的思维导图,有点乱,哈哈。
R3与R0联调
kernweak的博客
05-23 805
如果没有联调,当看栈候 WARNING: Frame IP not in any known module. Following frames may be wrong. 看不见操作步骤是 使用!process 0 0 获取用户空间的进程的信息 .process /p 87373550 切换到要调试的应用程序的Eprocess地址 重新加载user程序的 PDB文件 (需在Windbg...
[Windows] 系统调用(R3 进入 R0)
LYSM
09-07 1926
背景 一个线程由用户态进入内核态的途径有3种典型的方式: 通过 int 0x2e(软中自陷) 或 SysEnter (快速系统调用),主动进入内核。 引发异常或硬件中,被迫进入内核。 通过 int 0x2e 进入内核(xp以下) 一般 R3 的 API 最终都会去调用 NT 函数,在 NT 函数中根据该 API 对应的索引号去 SSDT / SSDT Shadow 中查找对应的方法,最后通过 SSDT / SSDT Shadow 进入内核。 ...
windbg双机调试命令使用
mofabang的专栏
11-11 764
F5或在命令输入g,运行。 F9在代码光标所在行下点。 bl列出所有点 bc *删除所有点 bc 0 删除0号点0n(十进制) 0x(十六进制) 0t(8进制) 0y(2进制) 可以使用n [8|10|16]命令来修改数值进制表示方式(输入n可查看当前进制,默认为16进制)dt - dump symbolic type information. dt [[-ny] [!
Windows下64位驱动调试方法
jmhIcoding
03-10 5479
尴尬的境地 囧 很多候,我们写的驱动是64位的,而这种64位驱动是不可以在代码中加入_asm int 3来实现在合适的地方进入中。因为vs此会报:error C4235: 使用了非标准扩展: 不支持在此结构上使用“_asm”关键字 。 而目标平台又要求一定是64位的,因此这就很尴尬了。 好在,使用WinDBG可以解决这个问题。核心原理是WinDbg向gdb一样支持 按函数名下点。因此...
Win7下VS2012与Windbg双机调试配置指南
"本文档详细介绍了在Windows 7环境下如何配置双机调试环境,主要涉及使用Visual Studio 2012(VS2012)和Windbg工具,这对于学习内核编程非常有帮助。首先,你需要安装和配置Win7系统、VS2012以及Windbg,并且还需要...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值