WinDBG从Ring3到Ring0跟踪CreateFileW的执行流程

最新推荐文章于 2023-09-28 08:48:00 发布
最新推荐文章于 2023-09-28 08:48:00 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sqzxwq/article/details/48193251
版权
本文详细介绍了如何使用WinDBG从Ring3层跟踪到Ring0层,通过创建记事本进程并设置断点,逐步解析CreateFileW函数在系统调用层面的执行流程,涉及ntdll!NtCreateFile、sysenter指令及内核函数nt!KiFastCallEntry等关键步骤。
摘要由CSDN通过智能技术生成

本次跟踪的系统版本:

调试机(宿主机):WIN7 64位旗舰版

目标机(虚拟机):WIN7 32位旗舰版


1、在虚拟机里打开一个记事本,然后Ctrl+Break中断操作系统


2、在WinDBG中输入!process 0 0 notepad.exe查看记事本进程信息


3、在WinDBG中输入.process /i /p 进程内核对象地址,在本例中则应该输入.process /i /p 867b2030强制切换到目标进程。WinDBG显示继续执行需要输入g,输入g,回车


4、在WinDBG中输入.reload /f /user重载用户层模块符号,此步依据个人WinDBG的符号表下载不同而可能可以省略,有时不重载会出错,本次实验略过此步


5、输入bp kernel32!CreateFileW,回车,再输入g,再次回车</

最低0.47元/天 解锁文章
sqzxwq
关注
专栏目录
CreateProcess进程创建的内核跟踪分析
zjw1989
09-12 1010
<br />*[标题]:CreateProcess进程创建的内核跟踪分析<br />*[作者]:gz1X [gz1x(at)tom(dot)com]<br />*[来自]:中国黑客联盟 [CHU]<br /><br />    <br />*[正文]:<br /><br /><br />[实现流程]<br />——————————————————————<br />1.打开需要执行的文件(.exe);<br />2.创建执行体进程对象; //<-------重点<br />3.创建初始线程; /
3.windbg-!pte转换地址(ring0)
hgy413的专栏
04-04 2157
1.取得DirBase kd> !process 0 0 test.exe PROCESS 89ed6170 SessionId: 0 Cid: 0558 Peb: 7ffd9000 ParentCid: 0744 DirBase: 0a7c0340 ObjectTable: e1e6b5a8 HandleCount: 15. Image: test.exe 2. 切换到
CreateFile打开文件执行流程浅析
gxfan的专栏
09-17 5978
CreateFile打开文件的执行流程浅析    分析CreateFile这个函数打开文件的执行流程有助于我们理解windows操作系统在接收到用户打开文件请求后都会做哪些工作、它是如何找到驱动程序的、以及有哪些windows核心部件参与了打开文件的操作,这对我们开发windows驱动程序十分有益。下面我们以CreateFile打开文件C:/MYFILE.CPP来浅析这一过程,系统对象参考图例
vc++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝_chorus和hook区别
12-26
利用API Hook截获CreateFile和CloseHandle达到加解密DOC文件和防拷贝的目的 visual c++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4279
三个主要的函数:NtQueryDirectoryFileNtCreateFileNtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
跟踪 Ring3 - Ring0执行流程
11:00 啦
08-22 3418
理论知识SYSENTER 指令是在 Inter Pentium(R) Ⅱ 处理器上作为“快速系统调用”功能的一部分被首次引用的。 SYSENTER 指令进行过专门的优化,能够以最佳性能由 Ring3 层切换到 Ring0 层。 微软首次引用 SYSENTER 指令是在 Windows 2000 的系统上,再次之前微软的系统是通过自陷指令 int 0x2E 进入 Ring0 层的系统空间的。 在
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2036
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
进程强杀探究
hongduilanjun的博客
03-07 2076
前言 我们知道在windows操作系统里面有ring0ring3的概念(ring1、ring2在windows中并未使用),因为ring0的特权级别是比ring3高的,那么我们肯定不能在ring3调用windows提供的api杀死ring0特权级别的进程,那么这时候我们就需要使用的ring0的函数来强行结束一些处于ring0级别的进程。 测试 我们首先打开PCHunter32.exe看一下,应用层是不能够访问的,我们知道可以在cmd里面使用taskkill命令来结束进程,但这种方式对ring0特权级别的程
漏洞分析丨HEVD-0x2.StackOverflowGS[win7x86]
m0_64973256的博客
07-07 250
视频制作不易,求三联支持,拜谢~添加公众账号“极安御信安全研究院”,报暗号:“资料” 即可领取视频相关工具、源码、学习资料,和其他逆向工程免费课。进交流群报暗号“交流群” 网络安全交流群QQ:434238324...
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
windbg查看函数参数,调用堆栈,及返回值.
王洪敏的专栏
01-16 4962
windbg查看函数参数,调用堆栈,及返回值. bp kernel32!CreateFileW ".echo ---------------------------------------;kL;du poi(@esp+4);gu;.echo =======;r eax;g"   用windbg打开qq看看  0:000> bp kernel32!CreateF
Windbg调试命令详解(3)
张佩的技术库
10-08 6219
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程列
WinDbg学习笔记八 - 内核调试常用命令2 - 进程相关
imJaron的博客
11-14 722
!process: 查看进程信息,比如EPROCESS地址,进程ID,线程信息等等。 !process 0 0: 用来显示进程列表以及每个进程的基本信息。 也可以查看指定进程的信息,以下会显示863e6b60进程的基本信息,不加0则会显示具体的信息。 !process -1 0则会显示当前进程的基本信息, 也可以查找特定的进程,比如
Windbg 内核态调试用户态进程
sxr__nc的博客
07-13 2305
之前写过双机调试环境的搭建,一般用来调试驱动这样内核态的东西,今天遇到一个问题,就是在内核态的情况下怎么给用户态的程序下断点?也就是在内核态怎么调试用户态的程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户态的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
windbg .process命令的一个注意事项
fwqcuc的专栏
10-07 3582
<br />.process命令的功能是在内核态调试时,切换进程CONTEXT。是调试用户态模块所必须的命令,因为用户态模块必然是在进程环境中运行的。<br />使用.process命令时需注意,在切换到目标进程空间后必须强制加载user模块的pdb文件。在;运行.process /i; g,等待中断后使用.reload /i /user或.process 时使用/p /r参数。否则lm不能列出进程实际已经加载的用户态模块,lm u结果会为空。下用户态程序断点查看内存等操作都无法进行。
Windbg中设置断点追踪打开软件远程调试开关的模块
最新发布
dvlinker的技术专栏
09-28 1万+
详细讲解如何在Windbg中设置断点追踪打开软件远程调试开关的模块。
使用windbg观察栈
hb_zxl的专栏
04-05 661
清明时节没出门,在B站上发现一个windbg教程,学习了堆栈一段 https://www.bilibili.com/video/BV1j5411P7Tp?t=150 1.B站内容 Introduction to Windbg Series 1 Part 8 - Commands k for callstack or stackback Basic commands for windbg - kConcept of Callstack -Callstack is the most important i
利用windbg分析程序崩溃生成的dmp文件
baidu_16370559的博客
11-04 4332
Windbg是一款功能十分强大的调试工具,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、调试转储文件、远程调试等等。 基本步骤: ●STEP 1:打开Windbg,在file中选择open crash Dump来打开所需要调试的Dump文件。 ●STEP 2:在file菜单中分别设置好Symbol file path 和 Source file path。 其中Symbol file path是程序编译时所生成的pdb文件,具体到某一个.pdb文件,如: ...
构建最小WDM驱动程序:汇编语言版Ring0内核编程指南
这段代码演示了如何在Ring0下执行特权操作,以及如何确保驱动程序符合WDM的规范。 在编写WDM驱动时,必须遵循特定的编程模型和规则,包括调用约定、异常处理和驱动入口点。示例代码最后通过MASM进行编译,并使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值