监控API调用的windbg 插件 Logexts

于 2024-03-28 21:59:25 发布
阅读量195 收藏 4
点赞数 1
分类专栏: 逆向 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83680667/article/details/137125786
版权
文章介绍了Windows调试器windbg中的logexts插件,用于实时监控程序的API调用,包括使用方法、命令介绍和输出选项控制。作者分享了常用的logexts.loge命令以及输出日志的多种方式。
摘要由CSDN通过智能技术生成

1、背景

病毒分析时,对一些程序需要快速分析其功能,需要知道其API调用都有哪些,windbg 提供了一个插件可以实现这个功能,这个插件就是logexts。

2 使用介绍

!logexts.logi
将Logger注入目标程序,初始化监控,但是并不开启它。

!logexts.loge
开启监控,如果之前没有调用logexts.logi,这个扩展命令会先初始化监控,然后启动。

!logexts.logd
停止监控。这个命令会摘掉所有的Hook,从而让程序自由运行。不过COM的Hook并不会被摘除。

!logexts.logo
显示或者修改输出选项,这里有三种输出方式:1.在调试器中显示,2.输出到一个文本文件,3.输出到lgv文件。其中lgv文件会包含更多的信息,我们可以使用LogViewer进行查看。

!logexts.logc
显示或者控制监控的API分类。

!logexts.logb
显示或者刷新输出缓存。由于如果在监控过程中发生异常,那么扩展可能无法将记录的日志写入文件中,这个时候我们就需要这个命令,手动的将缓存中的数据写入文件。

!logexts.logm
显示和创建模块的包含/排除列表。这可以帮助我们指定记录那些特定模块中的API调用。

我一般用到的命令是

!logexts.loge 开启监控

!logexts.logo e * 三种日志输出方式都输出

另外windbg还支持调试子进程,可以尝试监控一下子进程的API调用,这个还没尝试。

3、使用过程截图

image-20240117181829944

参考链接

https://0cch.com/2013/09/14/e4bdbfe794a8windbg-logextse79b91e68ea7e7a88be5ba8fapie8b083e794a8/

https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/using-the-debugger-and-logexts-dll?redirectedfrom=MSDN

Hack_zzz
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++-源代码调试-Visual Studio-X64dbg-WinDbg-插件开发
插件开发
11-09 512
如果宿主软件,存在反调试技术,我们开发插件的第一步就是干掉反调试,但这往往是一个复杂的工程,具体的技术可以查看相关教程,这样就需要一个强大的反汇编工具,比如X64dbg,同样可以先启动目标软件,然后可以在指定模块下断点,查看程序运行情况,使用X64dbg的读者,需要具备一定的逆向分析能力,如汇编代码阅读能力。看到此文的很多读者,可能会疑问,都有源代码,还要介绍怎么调试,这是为何,这主要是很多时候系统运行的复杂性,有可能我们只有部分代码,或者传统的调试器无法使用(反调试技术的存在)。
WinDBG插件编写介绍及在Nano Code中加载扩展
birdring_0xx0的博客
08-09 529
穷理者,因其所已知而及其所未知,因其所已达而及其所未达。人之良知,本所固有。然不能穷理者,只是足于已知已达,而不能穷其未知未达,故见得一截,又不曾见得一截,此其所以于理未精也。然仍须功夫日日增加。今日既格得一物,明日又格得一物,工夫更不住地做。如左脚进得一步,右脚又进一步;右脚进得一步,左脚又进,接续不已,自然贯通。 借钟馗与GDK7之合力捉”鬼“,保佑代码平安顺利、风调雨顺,再无”鬼怪出现“。 Nano Code与WinDBG 最近在使用GDK...
windbg人造结构体插件使用方法
如鹿渴慕泉水的专栏
06-08 183
windbg人造结构体插件使用方法
windbg 插件编写 ---基础篇
superliuxing的专栏
02-19 1831
标 题: WinDbg插件编写——基础篇作 者:Lvg时 间:2007-01-29 00:43  链 接:http://bbs.pediy.com/showthread.php?t=38729 WinDbg插件编写——基础篇     本文只是简略的描述了一下WinDbg扩展命令的编写步骤及方法,更详细的请看他的帮助文档,起到一个抛砖引玉的作用就行了。 Win
玩了下windbg插件
Returns' Station
03-09 2337
最近做一些自动化分析dump的东西,用windbg插件实现~mark一下~ 用WinDDK\7600.16385.1\Debuggers\sdk\samples\exts 编译~~ ULONG64 __stdcall FindObjectByName(char* szObjectName,ULONG64 ulRoot) { /* 哈希表 kd> dt _OBJECT_DIRECTO
Windbg插件 pykd
最新发布
11-07
python pykd
windbg命令高亮显示插件
12-07
这款"Windbg命令高亮显示插件"是为了提升用户在使用Windbg时的体验,通过高亮显示命令,使得调试过程更加直观和高效。下面我们将深入探讨这款插件的功能、使用方法以及与Windbg的结合。 首先,高亮显示是编程和调试...
windbg高亮插件&代码
06-17
这些插件可以通过Windbg的命令行接口来调用,使调试过程更加便捷高效。 在本压缩包中的"lynnux-scilexer-1f3c14cdc19d"文件,很可能是该插件的源代码仓库或者特定版本的发布。"Scilexer"这个名字通常与代码高亮有关...
Windows 11 版本 WDK中windbg调试插件
07-22
然而,对于更复杂的调试任务,如分析内存泄漏或跟踪系统调用,开发者往往还需要借助Windbg的力量。这个插件可能是为了弥合这两者之间的鸿沟,提供一个无缝的开发和调试流程。 使用这个插件时,开发者可以期待以下...
Windbg中文调试手册
04-26
**Windbg中文调试手册概述** Windbg是一款强大的调试器,主要用作分析故障转储、实时用户模式和内核模式代码的调试工具。它具备现代的界面设计,完善了脚本功能,支持可扩展的调试数据模型,以及内置的时程调试...
适用于 Windows 10 版本 1809 WDK中windbg调试插件
09-02
适用于 Windows 10 版本 1809 WDK中windbg调试插件,支持vs2017,微软官方原版下载WDK中提取
WinDBG用法详解及其插件编写方法
04-16
WinDBG用法详解及其插件编写方法 WinDBG用法详解及其插件编写方法 WinDBG用法详解及其插件编写方法
适用于 WDK8.1中windbg调试插件,支持Visual Studio 2013
09-02
适用于 WDK8.1中windbg调试插件,支持Visual Studio 2013,微软官方原版下载WDK中提取
VS2012编windbg插件-大神必备
07-13
VS2012编windbg插件-大神必备,助你成功路上一避之力,这是一个优秀的教程
windbg64位及汉化包
02-07
正在使用的windbg64位及汉化包 先安装英文版 再按说明使用汉化包
Windbg介绍
热门推荐
u010607621的博客
06-15 1万+
1. 介绍 1.1. 相关网站 微软网站 社区网站 调试分享 1.2. 下载 对于Win10,推荐使用微软商店下载windbg preview版本。其它的os,可以下载windows sdk,在安装选项中选择windbg。 preview版本皆可调试32,64位进程和内核。传统版本分为32和64两个版本,但优势在小巧便携。 1.3. 符号配置 微软的动态库,exe等,微软一般会公开pdb文件的下载,windbg经过配置后,会自动下载,从而利于解析程序的数据结构。 简易的方法是配置环境变量_NT_SYMBOL
如何完成Windbg插件
IT杂谈
09-07 3138
WinDbg插件编写――基础篇本文只是简略的描述了一下WinDbg扩展命令的编写步骤及方法,更详细的请看他的帮助文档,起到一个抛砖引玉的作用就行了。WinDbg是老盖自己家出的调试器,功能很强大。即可调试用户态,也可以调试核心态程序。本文主要介绍他插件(准确讲应该是扩展命令)的编写方法。WinDbg的扩展命令和OD一样是通过DLL文件导出的。一.插件的类型他有两种不同类型的DLL文件:1.DbgE
windbg 脚本命令实例
weixin_33804582的博客
02-05 214
debugger commands部分,痛苦死了。也找不到WINDBG插件,还是WINDBG插件功能?为了简化调试过程,只有学习使用SCRIPT了,现在把这几天的经验跟大家分享。附件中所有代码经NOTEPAD,REGEDIT等调试,花了几小时,基本通过。 废话多了,现在是正文。WINDBG的指令比较多,还是英文的,所以我只挑了一部分经常会用到的,并通过实例去...
ret-sync插件windbg/ollydbg+ida逆向调试神器
lixiangminghate的专栏
07-15 4208
ida有不少主流调试器的扩展插件,如windbg/gdb等,可以在静态分析的基础上动态调试二进制文件。可是众多调试器扩展中没有兼顾ollydbg,难免觉得是一项缺憾。 最近在github上发现一个插件:ret-sync,不仅弥补了ida对ollydbg支持的空白,还额外支持x64dbg/lldb等调试器: 使用插件前的准备工作 1.虽然作者建议使用vs2017生成插件,但...
python调用windbg分析dump
05-12
可以通过Python调用WinDbg进行dump文件的分析。 首先,需要安装WinDbg,并将WinDbg添加到环境变量中。 然后,在Python中使用subprocess模块调用WinDbg,例如: ```python import subprocess # 指定dump文件路径和WinDbg路径 dump_file = r'C:\path\to\dump\file.dmp' windbg_path = r'C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe' # 构造WinDbg命令行参数 cmd = [windbg_path, '-c', 'analyze -v %s' % dump_file] # 调用WinDbg并获取输出结果 result = subprocess.run(cmd, capture_output=True, text=True) # 输出WinDbg分析结果 print(result.stdout) ``` 此代码将使用WinDbg分析指定的dump文件,并打印分析结果。可以根据需要修改WinDbg命令行参数,例如,添加其他WinDbg扩展命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值