WinDbg 调试笔记

最新推荐文章于 2021-06-26 21:07:14 发布
最新推荐文章于 2021-06-26 21:07:14 发布
阅读量549 收藏
点赞数
分类专栏: 调试 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Boy_Wish/article/details/89513807
版权

r 查看寄存器

加载某个DLL 的时候下断点的WinDBG 命令:
sxe ld:[dll name]
sxe ld:Winspool.drv

bp WINSPOOL!AddPrinterW
bp WINSPOOL!AddPrinterA

VS编译时需要将/pdbtype:sept编译选项去掉,dv才有结构体信息

//设定符号文件路径到本地及微软服务器:
.sympath SRV*H:/Symbols*http://msdl.microsoft.com/download/symbols  
//下载ntoskrnl.exe的符号文件:
reload /f nt

kp 查看参数

dd r8
000000c9`fcfbd9a0  00000000 00000000 fcfbdf90 000000c9  ................
000000c9`fcfbd9b0  8d71c6e0 00007ffd 56264ed0 00000264  ..q......N&Vd...
000000c9`fcfbd9c0  56264d00 00000264 00000000 00000000  .M&Vd...........
000000c9`fcfbd9d0  00000000 00000000 00000000 00000000  ................
000000c9`fcfbd9e0  00000000 00000000 00000000 00000000  ................
000000c9`fcfbd9f0  8d71dd48 00007ffd 00000000 00000000  H.q.............
000000c9`fcfbda00  00000000 00000000 00000200 00000000  ................
000000c9`fcfbda10  00000000 00000000 00000000 00000000  ................
fcfbdf90 000000c9->000000c9`fcfbdf90  //
8d71c6e0 00007ffd->00007ffd`8d71c6e0  //
56264ed0 00000264->00000264`56264ed0  //
56264d00 00000264->00000264`56264d00  //
8d71dd48 00007ffd->00007ffd`8d71dd48
x64 系统函数调用,参数前四个在寄存器中,从左到右,rcx,rdx,r8,r9;剩下的参数从右到左入栈

rsp/esp 栈地址

 

Boy_Wish
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《Windows程序调试》完整书签版+在线笔记心得问答交流.rar
07-18
《Windows程序调试》完整书签版+在线笔记心得问答交流.rar
WinDbg与vmware虚拟机调试配置 解决WinDbg与vmware不能连接问题
03-29
### WinDbg与VMware虚拟机调试配置 在IT领域,特别是对于开发人员而言,能够高效地调试系统或驱动程序是非常重要的。本文旨在通过解决WinDbg与VMware虚拟机之间无法正常连接的问题来帮助大家更好地理解如何配置这两...
使用WinDbg调试Windows内核(二)
stonesharp的专栏
03-25 1533
使用WinDbg调试Windows内核(二) 上篇文章介绍了windbg调试内核的基本环境设置以及一些基础调试技巧,这篇文章介绍一些windbg的高级调试技巧。 0×01使用断点跟踪数据 断点通常用在暂停某个我们感兴趣的执行代码,例如当某个函数被调用时,我们还可以使用WinDbg断点命令字符串跟踪一些信息。在这里,我们将着眼于跟踪特定用户模式进程的有趣信息,即特定数据NO
windbg调试学习笔记
波波诸葛伟
12-26 500
汇编&反汇编 u 地址 [长度] 反汇编之后代码Ub地址 [长度] 反汇编之前代码Up地址 [长度] 从物理地址反汇编Uf 地址 反汇编当前函数a 地址 在指定地址处写入汇编 16位 怎样打印某函数调用关系 命令 功能 适用范围 uf /c /D 地址 打印当前函数对其他函数的调用 用户态/内核态 # 函数名 起始地址 l长度 打
sxe ld 命令
Sven的忘却日记
01-14 2410
有些场景需要使用windbg调试某个dll模块,而这个模块加载时机不是很确定。 通常需要使用sxe ld <dll名称> 来设置一个模块加载异常。当被调试进程加载指定名称的dll时,调试器就会中断,后续就可以对该模块的设置一些符号断点了。 那么如何看到我设置的所有sxe断点呢? 在windbg的event filter中可以管理设置过的sx系列断点 ...
调试技巧(镜像劫持)
weixin_42539095的博客
11-25 525
背景 在调试CVE-2017-11882的过程中,执行poc文档,通过动态工具可以知道,winword.exe创建了EQNEDT32.EXE,然后EQNEDT32.EXE启动了 cmd.exe,EQNEDT32.EXE使用 WinExec 创建的进程 cmd.exe,最后由cmd.exe打开了计算器。 那么,EQNEDT32.EXE无法直接调试,该如何解决呢? 注册表镜像劫持 1.打开注册表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current
31.windbg-怎么让windbg随进程加载自动启动(映像劫持技术)
hgy413的专栏
08-30 4454
1.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下,建一个项,比如DNF,就叫DNF.exe, 2.再在右边建一个 子项叫 Debugger 类型REG_SZ,填上windbg的地址, 3.再用windbg -I(大写)设置为默认调试器,之后就可以直接
镜像劫持及处理办法
weixin_34146410的博客
03-23 1080
周一去客户那里处理一台服务器说是被人攻破中了***,查看服务器上只安装了一个微点的杀毒软件(以前没有听说过),用惯了360下载并安装,安装过程中提示一个文本文件(一个文本文件语言不通顺,怀疑是人为的,根据文件名jingao.txt找到了执行文件jingao.exe将其删掉),双击快捷方式系统提示文件360safe未找到,我当时感到很奇妙,路径和文件名都没有问题...
windbg-order.rar_windbg
09-20
本压缩包&ldquo;windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档&ldquo;windbg order.doc”将详细介绍一些常用的Windbg命令,帮助你快速掌握这款神器的基本操作。 一、基本概念 Windbg是...
驱动学习笔记
05-24
- **调试技巧**:使用调试器如WinDbg或kd对驱动进行调试的方法。 通过深入阅读这本笔记,初学者可以逐步理解驱动开发的基础知识,为将来进行更高级的硬件控制和系统优化打下坚实基础。同时,实践是学习驱动开发的...
Windows驱动学习笔记
09-12
学会使用WinDbg进行调试,识别和修复驱动中的问题,是提升技能的重要环节。 总之,&ldquo;Windows驱动学习笔记”将引导你深入理解Windows驱动程序的工作原理,提供编写、调试和优化驱动程序所需的知识,是IT专业人士提升...
利用映像劫持轻松替换系统程序
weixin_34396103的博客
06-06 178
  Image File Execution Options (其实应该称为“Image Hijack”)就是映像劫持技术,通过此种方式替换记事本,非常地绿色环保。   Image File Execution Options 是 CreateProcess 函数中的一个功能,即在可执行程序运行时,Windows会先检测对应IFEO中的Debugger值,如果 存在这个参数的话,就运行这个参...
VC++编程实现镜像劫持
想飞的鱼
01-11 2988
所谓的镜像劫持,就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\”。以后只要用户双击 R
windbg调试学习笔记(三)
波波诸葛伟
12-29 5479
3.3 异常与事件 在调试器语境中,事件是一个基本概念,Windbg是事件驱动的。Windows操作系统的调试子系统,是“事件”的发生源。调试器的所有操作,都是因事件而动,因事件被处理而中继。Windows定义了9类调试事件,异常是其中一类(ID为1)。所以异常和事件,这二者是前者包含于后者的关系。 系统对各种异常和调试事件进行了分类,执行sx命令可以列出针对当前调试目标的异常或非异常事件的处
Windbg中查看函数参数
夏天夏天悄悄过去留下小眯眯
06-21 3681
前言:2013-06-20记录在sina blog上,现在移过来。
Windbg调试命令详解
Boy_Kris的专栏
02-28 2498
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exeWindbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
WinDbg学习笔记(一)
FrankieWang008的专栏
05-23 1767
WinDbg学习笔记(一)--认识WinDbg 一、前言     本人学习WinDbg已经有好几天了,虽说技术掌握的还不太熟练,不过也总算是入门了在学习WinDbg的过程中,觉得WinDbg真的比OllyDbg难很多(不知道是不是习惯OllyDbg的缘故),所以就想做点笔记,那以后自己忘了也可以拿出来复习,也为同样在学WinDbg的兄弟提供一点帮助。文章写得有点嗦,初学者应该可以很快看完,
调试器---镜像劫持
xuqi7
06-26 561
如果 A 程序 启动了 B 程序,而且设定了一些东西,这个时候想调试 B 程序,可以用镜像劫持
基于Android校园淘书APP设计与实现.docx
最新发布
08-14
基于Android校园淘书APP设计与实现.docx
VMware + Windbg 调试Win7内核驱动实战指南
例如,笔记详细讨论了如何在Vista系统下配置WinDBG调试驱动程序,以及在Win7中使用VMware和Windbg进行内核驱动调试的方法,这对于驱动开发者来说是非常实用的技术指导。 此外,笔记还涉及了驱动开发的各种常见问题...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值