《格蠹汇编》-第2章笔记

最新推荐文章于 2024-01-02 17:11:37 发布
最新推荐文章于 2024-01-02 17:11:37 发布
阅读量1.5k 收藏
点赞数
分类专栏: 调试 格蠹汇编笔记 汇编 文章标签: 笔记 格蠹汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FireBurn/article/details/8973903
版权

第二章  修复因误杀而瘫痪的系统


讲述内容:通过串口连接进行Windows内核调试,定位错误,最终修复一个无法进入桌面的系统。

关键点:
F8
“在Windows启动早期,按F8键调出高级启动选项,然后选择调试模式启动。”
不知道为什么在我的Win7下按F8键无法呼出启动选项。

BugCheck       C000021A , { e1c52ce0, c0000034, 0, 0 }
Bug Check机制会触发系统蓝屏崩溃,让系统中断到内核调试器中。上面显示的中断时调试器显示的部分信息。
C000021A 
停止码(stop code),在WinDBG的帮助文件中,有专门一篇文章介绍C0000021A的文章《Bug Check  0xC000021A: STATUS_SYSTEM_PROCESS_TERMINATED》

{ e1c52ce0, c0000034, 0, 0 }
参数,第一个是描述问题的字符串地址,可以使用db或者da命令察看。第二个是错误码(error code),参数三,四保留。

!error c0000034
显示错误码的具体含义。

对这个命令进行实际试验,结果显示是“<Unable to get error code text>”。又使用了多个错误码进行测试,大部分都是“<Unable to get error code text>”,有一两个显示一些断续的单词。

例如:
0:012> !error 64d
Error code: (Win32) 0x64d (1613) - Windows Installer                                            Windows Installer                Windows Service Pack

而MSDN中对于1613的描述是:
ERROR_INSTALL_PACKAGE_VERSION
installed by the Windows Installer service. You must install a Windows service pack that contains a newer version of the Windows Installer service.
FireBurn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
汇编·软件调试
03-28
汇编·软件调试 案例集锦
汇编-第二IBM-PC计算机组织完整版资料.ppt
11-14
汇编-第二IBM-PC计算机组织完整版资料.ppt
汇编-01-blog
06-02 205
实验资料:http://files.cnblogs.com/files/ONDragon/ieblog.zip      http://files.cnblogs.com/files/ONDragon/ieblog.z01.zip(注意修改这个文件名为ieblog.z01)这两个文件一起解压。 加载符号表   SRV*c:\mysymbol*http://msdl.micr...
[置顶]       读书笔记之《汇编-软件调试案例集锦》
weixin_34087301的博客
04-19 321
最近张银奎大侠出新书《汇编-软件调试案例集锦》 迫不及待买回来看了下,确实是好书,行如流水,看如小说,有慎怕一下看完了之想,学习之余写下读书笔记便于以后查询。 1.编辑博客时,编辑的内容在浏览器进程里,如果发表失败,网页上造成博文丢失,只要浏览器没有关闭可以从浏览器中来找回文。 ->附加浏览器进程s -u 0 L800000 "当年在交大"s是搜索 u...
汇编-实验1
weixin_70811025的博客
01-02 374
输入s -u 10000 L8000000 "当年在交大",s -u 用来搜索指定的Unicode字符串,s -a 用来搜索指定的ASCII字符串。.writemem D:\gedu\labs\blog\blog.txt 001b5942-8 L1458 将内存中的内容dump到文件中。我们通过eb指令向文件头添加Unicode标志 ff fe然后再dump到文件中。此时打开文件查看,可以看到是乱码,原因是因为没有unicode进行编码。dU 001b5942 以Unicode方式查看内存的内容。
汇编 第一 从堆里抢救丢失的博客
weixin_34195364的博客
11-12 188
选择dump好的文件 转载于:https://blog.51cto.com/13751543/2315781
汇编语言第二版-郑晓薇-习题答案
最新发布
03-03
汇编语言第二版-郑晓薇-习题答案
汇编:软件调试案例集锦
07-22
资源名称:汇编:软件调试案例集锦内容简介:本书以案例形式讨论了使用调试技术解决复杂软件问题的工具和方法。全书共36,分为四篇。前两篇每讲述一个有代表性的真实案例。第三篇讨论了调试工具和调试系统的...
汇编 软件调试案例集锦
11-21
全书共36,分为四篇...第四篇收录了使用调试器探索计算机世界的若干学习笔记,包括在调试器中细品CPU,通过调试器观察和解码堆块结构,透视Windows8的新类型应用以及使用调试器监视启动、睡眠和唤醒三大基本过程等。
汇编及嵌入式C语言-第三2022优秀文档.ppt
11-14
"汇编及嵌入式C语言-第三" 本资源为汇编及嵌入式C语言第三的教学讲义,主要涵盖ARM编程器所支持的伪操作、符号定义伪指令、数据定义伪指令等内容。 1. 伪操作:伪操作是ARM编程器所支持的一种特殊的指令助记符...
汇编——软件调试案例集锦
01-17
汇编 编辑 《汇编:软件调试案例集锦》以案例形式讨论了使用调试技术解决复杂软件问题的工具和方法。 全书共36,分为四篇。前两篇每讲述一个有代表性的真实案例。第三篇讨论了调试工具和调试系统的设计方法。第四篇收录了使用调试器探索计算机世界的若干学习笔记,包括在调试器中细品CPU,通过调试器观察和解码堆块结构,透视Windows8的新类型应用以及使用调试器监视启动、睡眠和唤醒三大基本过程等
汇编》-第1笔记
梵·烈火的专栏
05-24 2522
第一 从堆里抢救丢失的博客 讲述内容:如何在内存中搜索数据 使用命令: lm 列出进程使用的模块 ~ 列出该进程的所有线程 !heap 列出堆信息 !address 列出用户态空间所有区域 这个命令显示内容似乎随着版本不同有所变化,我所使用的6.2.9200显示的式就与
汇编》读书笔记—windbg的使用(中)
u012138730的专栏
09-09 599
笔记本唤醒失败的原因探究(16) 1)如何产生dmp文件 方法在前一说过https://blog.csdn.net/u012138730/article/details/90547384 当唤醒失败了以后,按ctrll+scrolllock 强制蓝屏(需要注册表的设置) 然后就有dmp文件可以分析了。 2)一些常规的命令 分析dmp文件的时候的一些常规操作,之前也介绍过。 设置调试符号路径 .symfix c:\symbols 自动分析 !analyze -v 3)进一
汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5283
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
读《汇编》第一并实验
hb_zxl的专栏
05-14 2607
最近发现张银奎老师调试的书不错,新的汇编也买过来看,很快到货了。今天晚上读第一,呵呵,还能做实验,不错。 这是一个从堆数据里面抢救丢失的博客的例子,实验也很有趣,在 dmp文件中搜索到博客内容,并写到文本文件。过程中符号表加载出错,最终看windbg的help顺利排除问题,完成实验,这里记录一下: 准备环境: c盘下面建立gedu 下载 http://www.advdbg.
汇编》-第3笔记
梵·烈火的专栏
05-26 1414
第3 徒手战木马 讲述内容:遇到一台进入桌面后没有启动explorer.exe的系统,在注册表中发现Winlogon的Userinit项被加入了木马程序。去除Userinit项中的木马程序,重启后,在进入桌面时被强制登出,在安全模式下情况一样。使用ERD(Emergency Repair Disk Commander)启动,再次查看注册表Userinit项,发现Userinit.exe
汇编》-第5笔记
梵·烈火的专栏
06-05 1179
第五 拯救"发疯"的Windows7 讲述内容:一Win7进入桌面时提示“Windows must now restart because the Power service terminated unexpectedly”,随后强制重启。利用WER机制,分析系统转储文件,定位栈缓冲区溢出错误。 关键点: 1、WinRE 在高级启动菜单中选择Repair Your Sys
实践使用WinDBG从虚拟地址转换到物理地址
梵·烈火的专栏
01-26 3708
正在逐学习《调试软件》一书,看到2.7分页机制。仿照书上的例子,试着手工把虚拟地址转换到物理地址。 由于书中的例子是针对未开启PAE的情况,而我的XP SP2默认开启了PAE,所以白白浪费了大半天时间。话说以前还真不知道启动参数里面/noexecute=optin也会开启PAE。 后来在网上找到了作者针对开启PAE后如何转换的文,重新实验了一下。原文地址:http://advdbg.org
汇编语言第8-输入输出程序设计.ppt
11-21
"该资源是关于汇编语言的第8——输入输出程序设计的讲解,主要涵盖了I/O设备的数据传送方式,包括程序直接控制I/O和中断传送方式,以及直接存储器存取(DMA)方式。" 在计算机系统中,输入/输出(I/O)程序设计是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值