静故了群动

忘了近处，忘了远处，忘了源自何处。知识无界，道无界。任何人任何有智慧的物种都可以随意转载和修改。但禁止商用。

06月 04月 03月 02月 01月

原创 Windbg常用命令

在Windbg的命令行窗口输入"?", 则会输出帮助菜单, 在这个Menu中会显示一些常用的命令: (1)断点指令 B[C|D|E] [] clear|disable|enable breakpoints BL list breakpoints BP set soft breakpoints

2012-01-15 13:05:54 615

原创 dump 调试

通过lm命令查看模块列表。通过.dump +path + fileName 命令生成dump文件。通过.opendump 命令（或菜单）加载dump文件。运行命令kb，显示调用栈的信息。如果有正确的符号设置，可以看到调用的函数名。如果你在调试自己驱动程序的蓝屏问题，请确保设置正确该驱动程序的符号路径，不然就会出现Stack unwind information not avai

2012-01-15 12:53:36 562

原创引入内核模式安全字符串函数

原文地址 http://www.osronline.com/ddkx/kmarch/other_0vfr.htm一、在内核驱动代码中引入安全字符串函数有两种方式可以引入安全字符串函数: 如果代码需要在系统为Windows XP及以后版本运行时，可以使用内联的方式；如果代码需要运行在早于Windows XP时，则必须使用链接库的方式。

2012-01-15 11:26:39 1070

原创进程识别

首先是进程识别的时机问题，我们在进程创建的时候，判断是否为授权进程，如果是就放入一个链表即可。SEFS是在ImageLoadNotify中识别的，这里可以轻松的得到进程的全路径。再说说识别算法，最简单是判断进程名称，或者是进程全路径。最严格的是判断进程Bin的HASH。再折中的做法是判断进程Bin的特征码。目前这3种SEFS均支持。但是在实际运用还在一些问题。HASH过于严格，

2012-01-15 10:49:11 766

原创 Couldn't resolve error 的问题

1. 若符号存在D:\pathSymbols，输入命令：.sympath SRV*d:\pathSymbols*http://msdl.microsoft.com/download/symbols2 .[使用!sym noisy命令希望WinDBG在获得符号的时候取得更多的信息，接着使用!lmi命令让WinDBG查看Windows的ntoskrnl模块。然后使用.reload /f

2012-01-14 11:42:29 4751

原创无法解析的外部符号的解决方法

原因：是用到了一个库函数，但是项目没有把它的库加进去。1：在CPP文件include语句之后加上如下代码： #pragma comment(lib,"需要的lib库文件") 2：项目 --> 属性 --> 链接器 --> 输入 --> 附近依赖项填入你使用到的库

2012-01-12 10:24:50 1847

原创 windbg 和 vmware 单机调试步骤

转载请注明出处：http://blog.csdn.net/sunboyhch1 先在vmware里选择调试模式让虚拟机停止，等待windbg发出 g命令。2 打开windbg，出现断点提示，输入g，虚拟机继续运行。3 编辑你要调试的源代码，在你需要调试的代码中添加硬断点。如果不添加硬断点，将没有办法进入所调试的程序中。在你需要调试的程序中加入以下代码： DbgBre

2012-01-11 23:21:56 1124

原创 void* to ULONG

转载请注明出处：http://blog.csdn.net/sunboyhchULONG ul = 100;void * pv = &ul;ULONG pd = *(ULONG*)ul); 在c++中比较简单如：double d = 100;void * pv = &d;double * pd = static_cast(pv);

2012-01-11 20:39:13 605

原创环境变量的获取和设置

函数在中声明，环境变量由一个字符串数组构成，其形式为“VARNAME=value”。可以用getenv()和putenv()函数从程序中访问环境变量。读取环境变量 :如果函数调用成功，它返回环境变量的字符串值。如果变量没有被定义，函数返回空（NULL）char * getenv(const char *varName); 设置环境变量 :参数var必须是字符串。p

2012-01-11 11:10:22 580