- 博客(5)
- 收藏
- 关注
RSS订阅原创 WinDBG调试Dump文件
初学winDBG,一点笔记。各路大侠请笑过。这个dump文件是某童鞋蓝屏时dump出来的,简单看了下,可能是由于启动了硬件加速导致的。错误代码:KERNEL_MODE_EXCEPTION_NOT_HANDLED_M,错误函数:RtlUnicodeToCustomCPN+2f利用WinDBG分析系统崩溃时的dump文件,参考链接:http://bbs.pediy.com/showthre
2011-12-26 11:12:51
1103
原创 初学驱动逆向,笔记二。
例子: [ \chapter09\StartIOTest ]本例子的核心代码是HelloDDKStartIO处理过程。初学驱动逆向,逆向函数还原代码,无壳无花,流程也很简单。IDA反汇编代码:void __stdcall HelloDDKStartIO(_DEVICE_OBJECT *DeviceObject, _IRP *Irp)event= _KEVENT ptr -1Ch
2011-12-20 22:08:27
935
原创 WinDBG调试线程
WinDBG调试线程,理解线程内部机制。初学WinDBG,参考一些文章进行简单的线程调试。参考资料:http://bbs.pediy.com/showthread.php?p=791936准备工作:运行被调试程序,!analyze -v分析程序,kb查看堆栈(函数执行流程)。步骤总结:线程状态下断点,通过堆栈查看函数执行流程,查看函数反汇编代码理解内核工作流程。个人经验:通
2011-12-20 13:58:46
4073
原创 WinDBG查看内核数据结构
查看详细的模块信息:!lmi nt枚举所有内核数据结构:dt nt!_*查看数据结构详细信息:dt nt!_xxx// !lmi nt [查看详细的模块信息]kd> !lmi ntLoaded Module Info: [nt] Module: ntkrnlpa Base Address: 804d8000 Image Name: n
2011-12-20 13:49:58
2592
原创 初学驱动逆向,笔记一。
初学驱动逆向,在《windows驱动开发技术详解》中随便找个例子逆逆看 [ \chapter09\SpecialStartIOTest ]。水平很菜,各路牛人笑过。逆向该例子的DriverEntry和CreateDevice函数,这两个函数在《windows驱动开发技术详解》的例子中十分常见。并逆向的本范例驱动的核心部分 HelloDDKRead 函数,没什么技术含量。经验:需要熟
2011-12-19 12:31:59
1849
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人