Windows 2000 SP4 内核调试初窥

最新推荐文章于 2022-12-25 19:13:18 发布
最新推荐文章于 2022-12-25 19:13:18 发布
阅读量1.2k 收藏
点赞数
分类专栏: Windows_NT x86 文章标签: windows list microsoft 任务 struct 虚拟机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r_mosaic/article/details/7772644
版权
本文介绍了使用WinDbg对Windows 2000 SP4进行内核调试的经验,包括如何查看_EPROCESS结构,理解ActiveProcessLinks链接表,以及设置断点观察KiRetireDpcList函数的调用。通过调试,揭示了系统在忙碌和空闲时如何处理DPC任务。
摘要由CSDN通过智能技术生成

今天又试了两个 Windows 版本。首先尝试的是虚拟机上安装的 Windows 2000 RTM,也是用 WinDbg 连接到它的 COM2 口的命名管道上进行调试(在 Virtual PC 上指定 COM2 为 \\.\pipe\nt5com2,并在 WinDbg 中连接它)。发现系统已经比昨天调试  NT 4 的情况要好了——系统已经能正常运行了(我猜测是 NT 4 也许要用它那个老版本的 i386kd.exe 才能正常调试,只是个猜测,但那个命令是否支持命名管道还是个疑问,所以放弃了)。但是,在 WinDbg 中 dt nt!_EPROCESS 仍然拿不到任何数据,依然是找不到符号。键入 lm 显示,WinDbg 已经从 Microsoft Symbol Server 上拿到对应的符号文件(PDB)。换用从 Microsoft 网站上下载到的 Windows 2000 RTM Symbol Package 并重新加载,依然没有 _EPROCESS。

然后,试着把 Windows 2000 RTM 升级到 SP4,再作试验。结果,试验成功。

此处先推荐一个网页:http://www.codeproject.com/Articles/7913/Debug-Tutorial-Part-6-Navigating-The-Kernel-Debugg

下面,我记录一下我初步认识 _EPROCESS(执行体进程,Executive Process)结构的一些经历。执行体进程结构是 Windows 执行体用来表示进程的结构。

1. !process 是个扩展命令。它有一个语法 !process 0 <Flags>。其中 <Flags> 可以是 0,表示只显示最基本的信息。!proces

最低0.47元/天 解锁文章
r_mosaic
关注
专栏目录
Windows 2000内核KPEB/KTEB详细结构(http://webcrazy.yeah.net/)
FreeXploiT
01-31 2021
Windows 2000内核KPEB/KTEB详细结构            WebCrazy(http://webcrazy.yeah.net/)    EPROCESS与ETHREAD结构在Windows NT/2000内核的地位是不言而喻的。他们结构中的成员包含了内核的方方面面,是两个比较大的结构。在Windows 2000 Server Build 2195 Free Ke
windows 2000 debug symbols
09-03
windows 2000 debug symbols If you plan to install symbols manually, it is crucial that you remember this basic rule: the symbol files on the host computer are required to match the version of Windows installed on the target computer. If you are planning to do a kernel mode debug of a Windows XP target from a Windows 2000 host, you need to install the Windows XP symbol files on the Windows 2000 system. If you plan to perform user-mode debugging on the same computer as the target application, then install the symbol files that match the version of Windows running on that system. If you are analyzing a memory dump file, then the version of symbol files needed on the debug computer are those that match the version of the operating system that produced the dump file, not necessarily those matching the version of the operating system on the machine running the debug session.
Windows 2000内核模式驱动程序设计
欲穷千里目,更上一层楼
07-04 2316
文章来源:重庆邮电学院学报设备驱动程序是直接同硬件打交道的软件模块。在Windows 2000中,微软公司在Windows NT4.0的驱动程序结构基础上,同时引入了Windows9X的即插即入特性,推出了新的驱动程序结构模式(WDM)。WDM通过提供一种灵活的方式来简化驱动程序的开发,在实现对新硬件支持的基础上减少并降低所必须开发的驱动程序的数量和复杂性。在Windows 2000中的驱动程序可
(转载)Windows 2000 Kernel Exploit 的一点研究
Kendiv's Box
01-02 2986
Windows 2000 Kernel Exploit 的一点研究转自:http://www.xfocus.net创建时间:2003-06-03文章属性:原创文章提交:eyas (ey4s_at_21cn.com)windows 2000 kernel exploit 的一点研究ey4s2003-05-23    以下是研究MS03-013所公布漏洞时的一点心得,其中可能有不少错误的地方,请大家多
0day安全软件漏洞分析技术读书笔记-windows2000的堆的工作方式(上)
houjingyi的博客
11-07 1148
空闲态堆块和占用态堆块的块首结构基本一致,只是将块首后数据区的前8个字节用于存放空表指针了。这8个字节在变回占用态时将重新分回块身用于存放数据。 堆表中包含的信息依次是段表索引、虚表索引、空表使用标识和空表索引区。 空表索引区:偏移0x178 指向快表的指针:偏移0x584 0x00360178指向0x00360688,而接下来其它的索引都是指向自身。 00360170  0
windows 2000 sp4 symbols
01-22
总结起来,"Windows 2000 SP4 Symbols"是Windows 2000 SP4版本的调试符号,对于开发者和系统管理员来说,它们是诊断和修复该系统问题的重要资源。通过使用这些符号文件,可以提升故障排查的效率,确保系统运行的稳定...
Windows.2000.Professional.SP4.iso
11-04
Windows.2000.Professional.SP4.iso 测试用的。放在这里。
Windows2000 Server(SP4).ISO
06-13
Windows2000 Server(SP4).ISO
Windows 2003下安装SQL Server 2000 SP4补丁
08-26
Windows 2003操作系统下安装SQL Server 2000 Service Pack 4 (SP4) 补丁是一项重要的任务,因为这个补丁能够增强数据库服务器的安全性、性能和稳定性。SQL Server 2000是微软的一款流行的关系型数据库管理系统,而...
Window xp sp3 symbols调试符号表超级完整包
11-27
它包含了所有必要的符号信息,使得开发者能够对Windows XP SP3进行内核级别的调试,这对于排查系统崩溃、蓝屏等问题具有极大的帮助。 使用此调试符号包,我们可以进行以下操作: 1. **内核调试**:通过加载这些...
windows 2000中Windbg调试本机内核不支持
windsnowiswhite的专栏
03-20 504
windows 2000中,选择kernel debugging,然后调试本地内核,会出现下面的提示:The system does not support local kernel debugging....后来看看帮助:Local  kernel debugging on a single computer. This is supported only on Windows  XP and
解析Windows2000的IDT扩展机制[转贴]
05-11 865
解析Windows2000的IDT扩展机制作者:Brief下载本文配套源代码原文出处:http://www.fz5fz.org/Archives/21.htm前言 今天我们谈谈Windows 2000下中断机制的扩展,首先申明本文提到的技术并非本人发现的,只不过是我在学习Windows内核过程中的一点心得罢了,目的在于为和我一样刚刚步入Windows底层学习的朋友提供一点实
读书之《windows2000内部揭秘》--第3章-系统机制
离剑式的个人空间
12-15 920
第3章 系统机制 Microsoft windows2000 提供了诸如执行程序、内核以及设备驱动程序等内核模式组件所使用的一些基本机制。本章将对以下系统机制进行解释并讲述他们的使用方法:    ♦陷阱调度,包括中断、延迟过程调用(DCP)、异步过程调用(ACP)、异常调度和系统服务调度。    ♦执行程序对象管理器。    ♦同步,包括自旋锁、内核调度程序对象和等待的实现方式。
Debug
m0_72827793的博客
12-25 619
汇编
windows内核_Windows内核扩展机制研究
weixin_42350506的博客
01-23 444
近期,我自己写了一个内核模式驱动器,跟我平时写的很多代码一样,这个驱动器也存在Bug。 确切来说,这个驱动器可以防止其他驱动器正常加载,并导致系统崩溃。实际上,很多启动器会默认它们的始化进程(DriverEntry)能够成功执行,因此在出现问题时它们是无法正确处理的。j00ru曾在几年前发布的博文中提过几种案例,而且其中有很多都跟目前的Windows版本有关,而我只对其中的一个驱动器比...
装载修改过的WINDOWS系统内核程序(WIN2000
wintc的专栏
08-30 2419
您是否想修改WIN2000系统内核文件呢?(如:NTOSKRNL.EXE或HAL.DLL)如果您修改了NTOSKRNL.EXE后,再复制到SYSTEM32目录下,WIN2000系统就会恢复您所覆盖的系统内核文件。最简单的解决方法就是用引导盘引导后再复制。但是这样就行了吗?没有。因为在重新启动以后,选择Windows 2000 高级选项菜单里面的带命令行提示的安全模式会显示以下内容:因以下文件的
Windows内核研究总结
热门推荐
bcbobo21cn的专栏
02-05 1万+
Windows 的体系结构 分析环境reactos0.3.1 ,i386体系] 了解了windows的体系结构才知道reactos到底要干什么,以及如何干,因为reactos的目标是兼容windows。 下面是windows的体系结构: 这是整个windows的体系结构的总览。从图上可以看出系统被分成内核模式和用户模式。 内核模式的构成文件是系
windows2000 sp4下载
weixin_30267785的博客
08-27 843
http://www.microsoft.com/china/windows2000/downloads/SP4.mspx 转载于:https://www.cnblogs.com/Zblogs/p/3286243.html
Windows内核之系统架构
从事厨房信息化行业,万能对接所有点餐系统,kds,智能控菜,酒店协调软件
12-02 3806
一.架构概述 下图显示了Windows的基本结构。Windows采用双模式来保护操作系统本身,以避免被应用程序的错误所波及。操作系统核心运行在内核模式下,应用程序的代码运行在用户模式下。每当应用程序需要用到系统内核内核的扩展模块(内核驱动程序)所提供的服务时,应用程序通过硬件指令从用户模式切换到内核模式中;当系统内核完成了所请求的服务以后,控制权又回到了用户模式代码。 在Windows中,用户代码和内核代码有各自的运行环境,而且它们可以访问的内存空间也不相同。在32位系统中,内核代码可以访问当前进
windows2000 sp4
最新发布
06-07
Windows 2000 SP4(Service Pack 4)是Microsoft Windows 2000操作系统的一个重要补丁更新版本。它发布于2004年,主要是为了提供性能提升、安全性增强以及对新硬件和软件兼容性的改进。SP4包含了自Windows 2000始...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值