windebug查看KeServiceDescriptorTable

最新推荐文章于 2021-10-09 22:39:02 发布
最新推荐文章于 2021-10-09 22:39:02 发布
阅读量813 收藏
点赞数
  kd> dd KeServiceDescriptorTable
8089f7e0  80831b20 00000000 00000128 80831fc4
8089f7f0  00000000 00000000 00000000 00000000
8089f800  8089f800 8089f800 7c9524b4 00000000
8089f810  00000000 00000000 00000000 00000000
8089f820  00000000 00000000 00000000 00000000
8089f830  00000000 00000000 00000000 00000000
8089f840  00000000 00000000 00000000 7c9524a5
8089f850  00000000 00000000 00000000 00000000
kd> dd 80831b20 + 0x27 * 4
80831bbc  808e50be 808e47d0 8093546e 809369dc
80831bcc  808acbc2 808e51c6 808d91f8 808e50f6
80831bdc  808f9d06 808f3d80 80931954 80931760
80831bec  808d88da 808f966e 808d708c 80929b1e
80831bfc  80931814 808d8ede 8091de7a 808f3da2
80831c0c  80990e98 8099101a 809919da 808d7f5c
80831c1c  8096968e 8096968e 808e4194 808acf1a
80831c2c  80919bbc 808ad090 808e527c 80949e0a
kd> u 808e50be
nt!NtCreateFile [d:\wrk\wrk\wrk\wrk\base\ntos\io\iomgr\create.c @ 92]:
808e50be 55              push    ebp
808e50bf 8bec            mov     ebp,esp
808e50c1 33c0            xor     eax,eax
808e50c3 50              push    eax
808e50c4 50              push    eax
808e50c5 50              push    eax
808e50c6 ff7530          push    dword ptr [ebp+30h]
808e50c9 ff752c          push    dword ptr [ebp+2Ch]
Ansbic
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WinDBG windebug查看Minidump 蓝屏信息
12-01
WinDBG windebug查看Minidump 蓝屏信息
WIN7 X64 SSDT函数获得
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 2114
曾经在网上看到一片文章, 在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable: kd> dp KeServiceDescriptorTable fffff800`0117bb80  fffff8
驱动开发笔记3—SSDT表详解
qq_42814021的博客
10-09 3299
SSDT表 SSDT的全称是"System Services Descriptor Table",即系统服务描述表,在内核中的实际名称是KeServiceDescriptorTable,这个表由ntoskrnl.exe导出(在x64里不导出)。 SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll中的API是一个简单的包装函数,当Kernel32.dll中的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个中断(int 2Eh 或者 SysEnter指
ssdt 表结构及hook的一般理解
weixin_34121282的博客
12-06 101
1       Ssdt表的基本结构 KeServiceDescriptorTable 首地址:8055D700 0: kd> dd KeServiceDescriptorTable 8055d700  80505460 00000000 0000011c 805058d4 8055d710  00000000 00000000 00000000 00000000 8055d720...
这可能是最详细的 Windows Debug 详解 了
热门推荐
咸鱼的笔记
06-08 1万+
Debug概览 Debug是什么? debugWindows 16位或者32位机器上的一款调试工具。也就是说,在WindowsXP及以前的机器上都有debug,直接Win+X debug就可以调出;在之后的32位机也有;但是在之后的64位机器上不存在,即使有,也无法运行。不必尝试到底能不能运行,绝对不能 相似的,微软的masm也无法在64位版本的系统上运行。 可以通过安装dosbox来...
WinDebug 6.12
02-26
WinDebug 6.12是一款强大的Windows调试工具,主要用于分析系统崩溃、蓝屏错误(Blue Screen of Death,BSOD)和其他应用程序异常。Windows Debug Tools,其中包括WinDbg,是微软提供的一个综合工具集,用于软件调试...
WinDebug使用方法详解
07-31
WinDBG 是个非常强大的调试器,它设计了极其丰富的功能来支持各种调试任务,包括用户 态调试、内核态调试、调试转储文件、远程调试等等。 WinDBG 具有非常大的灵活性和可扩展性, 用来满足各种各样的调试需求,比如...
WinDebug使用方法详解.pdf
08-18
WinDebug
WinDebug用法详解
09-19
WinDBG 是个非常强大的调试器,它设计了极其丰富的功能来支持各种调试任务,包括用户 态调试、 内核态调试、 调试转储文件、 远程调试等等。 WinDBG 具有非常大的灵活性和可扩展性, 用来满足各种各样的调试需求,...
Windebug调试工具
07-26
通过连接到目标进程,WinDebug可以获取运行时的内存信息、线程状态、模块加载情况等,并允许开发者设置断点、单步执行、查看寄存器值、分析堆栈和内存等,从而帮助找出程序崩溃、挂起或性能问题的原因。 ### 2. ...
Windows调试工具入门 — 1
eqera的专栏
11-28 6364
一、  引子 Debugging Tools for Windows是微软发布的一套用于软件调试的工具包(后面如果没有指明,那么我会使用WinDbg来作为这一套调试工具的简称)。我第一次接触是在三年前的一个内核驱动项目,由于进行了IDT中键盘鼠标中断的Hook,使用Softice调试时造成会造成影响,只得使用WinDbg通过串口进行双机调试。自此之后这个Windows平台下最为强大的调试工具一直
WinDebug快速使用及调试注意事项
pathfinder1987的博客
01-26 4568
参考文献: http://www.cnblogs.com/killmyday/archive/2010/03/14/1685331.html WinDbg是微软发布的一款强大的源码级调试工具,支持用户态和内核态两种模式的调试,支持Dump文件分析、内存泄露诊断、同时支持跨机器远程附加进程调试。在具体调试时,WinDBG与VS快捷键操作基本一致,上手比较快,另外,支持监视、堆栈查看、内存分析等功...
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2065
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
KeServiceDescriptorTable64获取
weixin_34368949的博客
03-11 897
1 ULONGLONG GetKeServiceDescriptorTable64() //我的方法 { PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082); PUCHAR EndSearchAddress = StartSearchAddress + 0x500; PUCHAR i = NULL; U...
Win64 Driver开发问题记录(二)
nevil的专栏
07-05 3471
Win64 driver开发中遇到的第二个问题是如何通过SSDT表引用系统服务内核函数。 MS在64系统中引入了全新的PatchGuard技术,使得原本在32位下可轻易hook的SSDT表在64位系统中无法再patch(会引发BSOD). 当然,目前我并非是要hook SSDT表,而是需要使用到SSDT表中的一个未导出的系统服务内核函数。在32位driver中可以通过extern "C
64位vista,win7中KeServiceDescriptorTable问题
Tommy(凌飞)的专栏
12-11 3191
     最近在移植64位驱动,原本在32位驱动中使用到了KeServiceDescTable进行SSDT Hook等。但是在64位系统上是不允许进行SSDT HOOk的。在64位的XP系统上,使用到这个导出符号式没有问题的。但是在64位Vista和Win7下面,如果使用了这个符号,那么你在加载驱动的时候,返回的错误是找到不指定文件。在修这个bug真是有点吃力,只能一点点个跟进去,还好手边有WRK
WinDebug查找内存泄露
lixiang987654321的专栏
07-12 4208
引言 对于C++的开发者来说,内存泄露是一类耗时的bug。检查内存泄露总是让人很抓狂,如果出问题的代码不是你写的,或者代码量很大的时候,事情就更糟糕了。 现在市场上有很多工具可以用于检查分析内存泄露的问题,但是一般都不是免费的。Windbg是一款功能强大又可免费使用的内存泄露检查工具,通过Windbg可以初步定位怀疑有内存泄露的代码位置。COM接口相关的问题在本文档中不涉及。 W
windebug使用教程
最新发布
02-08
WinDbg是一款由微软公司开发的强大的调试工具,用于分析和调试Windows操作系统的内核和用户模式崩溃、挂起和性能问题。下面是WinDbg的使用教程: 1. 下载和安装:从微软官网下载最新版的Windows Driver Kit(WDK),并安装到你的计算机上。 2. 配置符号文件路径:在WinDbg中,选择 "File" -> "Symbol File Path",然后添加Microsoft的符号服务器的地址,以便在调试过程中能够正确地解析和显示符号。 3. 打开调试目标:选择 "File" -> "Attach to a Process",然后选择你想要调试的进程或者直接运行一个可执行文件。 4. 设置断点:在代码中找到你想要设置断点的位置,然后在WinDbg中使用 "bu" 命令设置一个断点。例如:bu <函数名>。 5. 开始调试:点击 "Go" 或按下 "F5" 键开始执行程序,并在断点处停下。 6. 分析崩溃信息:当程序崩溃时,WinDbg会停在断点处,并显示崩溃信息。可以使用命令 "k" 来查看函数调用栈,"r" 来查看寄存器值,"dv" 来查看变量的值。 7. 单步调试:可以使用命令 "p" 或 "t" 来逐行执行代码。"p" 命令会逐行执行,而 "t" 命令会逐过程执行。 8. 内核调试:如果你想调试Windows内核,需要在启动时选择 "Debugging Mode",然后使用串口或网络调试连接到WinDbg。 总之,WinDbg是一款强大的调试工具,可以帮助程序员快速定位和解决Windows系统的崩溃和性能问题。但它的使用需要一定的经验和技巧,建议在使用前先阅读相关的文档和教程,以便更好地利用它的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值