Windbg Preview调试分析CreateToolhelp32Snapshot

最新推荐文章于 2024-06-24 18:41:05 发布
最新推荐文章于 2024-06-24 18:41:05 发布
阅读量3.2k 收藏 1
点赞数 1
分类专栏: 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Joliph/article/details/80558713
版权

进程隐藏的时候并没有对CreateToolhelp32Snapshot进行Hook,而是Hook了ZwQuerySystemInformation,写了一个调用CreateToolhelp32Snapshot显示进程的小程序,分析一下,顺便了解下Windbg Preview怎么用.

1.
应用商店搜索Windbg Preview下载,界面比原来的版本好看很多,而且也有更多地功能区,各种方便,推荐使用这个!,调试内核的时候好像是要用管理员权限打开才行。
UI

TIPS
如果没有下载pdb文件需要提前下载,且需要去环境变量里面设置pdb目录,具体百度普通版Windbg的环境变量设置教程

2.
文件——打开EXE文件(taskmgr.exe 后面附其源码)———-自动断下————但是断下的地方不是程序的EP处,而是ntdll内,所以我们需要手动到EP代码处
断下
输入: !dh taskmgr 查看taskmgr的PE结构

File Type: EXECUTABLE IMAGE
FILE HEADER VALUES
    8664 machine (X64)
       6 number of sections
5B0982F3 time date stamp Sat May 26 23:53:23 2018

       0 file pointer to symbol table
       0 number of symbols
      F0 size of optional header
      22 characteristics
            Executable
            App can handle >2gb addresses

OPTIONAL HEADER VALUES
     20B magic #
   14.14 linker version
    1600 size of code
    2400 size of initialized data
       0 size of uninitialized data
    184C address of entry point                     //入口点偏移
    1000 base of code
         ----- new -----
..........................

在OPTIONAL HEADER VALUES中的address of entry point属性处标识了入口点偏移(RVA)
所以 EP代码地址=taskmgr基址+184C
输入 g taskmgr+184C
成功进入EP代码处
EP

3.
因为有PDB文件所以直接输入 bp taskmgr!main 再g就来到了main函数处
找到
00007ff64254108c ff156e1f0000 call qword ptr [taskmgr!_imp_CreateToolhelp32Snapshot (00007ff642543000)]
跟过去,步入函数KERNEL32!CreateToolhelp32Snapshot:
1
再输入 BP ntdll!ZwQuerySystemInformation 给ZwQuerySystemInformation下断防止跑飞

仔细跟踪发现在KERNEL32!CreateToolhelp32Snapshot+0x103处有一句
call KERNEL32!ThpCreateRawSnap 跟进
发现在KERNEL32!ThpCreateRawSnap+0xcb出调用了
KERNEL32!_imp_NtQuerySystemInformation
key
跟入,找到ZwQuerySystemInformation
2

Istaroth
关注
专栏目录
[系统安全] Windbg Preview调试记录
H4ppyD0g的博客
12-24 2433
本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些内容,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新。
使用Windbg动态调试排查软件启动不了的问题
dvlinker的技术专栏
09-02 3万+
本文详细讲述如何使用Windbg动态调试分析程序启动不了的问题。
WinDbg Preview1.1910.3003.0.zip
03-22
win10上的Microsoft Store一直闪退用不了,特送给需要的人,用于windows下程序调试,方便调试dump文件
WinDbg Preview简单使用
LiveviL的博客
08-16 1万+
WinDbg Preview简单使用CLR程序调试入门dump包的抓取WindowsLinux基本dump包分析SOS 调试扩展获取对应的clr.dll以及sos.dll加载基于sos的符号加载sos异常及处理方法 CLR程序调试入门 程序不光要能跑,还要能一直稳定的跑。前段时间线上接口时不时就会整体Down一下,性能常不稳定,通过多方摸索,尝试才找到原因。不从细节直接入手,出现问题就会手忙脚乱,不能在短时间内解决。 dump包的抓取 Windows 直接在任务管理器里面,选中对应的进程,右键->创
windbg调试入门(一)
最新发布
m0_60558754的博客
06-24 399
在编写完成后,右键点击项目生成,然后在文件夹中查看,生成的Project1.exe程序和Project1.pdb文件,其中pdb文件为存储的符号表,需要和exe的生成版本,或者生产时间保持一致。最后调试完毕后,使用qd退出当前运行的程序,对于已经调试到崩溃步骤的程序,如果想重新调试,则需要重新launch exe,使用reload命令则无法重新加载。在这个程序中,c的值被赋为0,当带入到func函数中的计算y时候,除0计算会导致程序崩溃,无法按期执行打印后面的x和y的值。在下面的0:000>位置输入命令。
windbg预览版
04-21
windbg预览版 ,win10 商店里的内种 方便很多.。。 。
WinDbg Preview1.1910.3003.0
07-26
WinDbg PreviewWinDbg 的新版本,具有更现代的视觉效果、更快速的 Windows 和成熟的脚本体验。 它是在重要位置使用可扩展的面向对象的调试程序数据模型构建的。 现在,WinDbg Preview 使用与 WinDbg 相同的基础引擎,因此所有命令、扩展和工作流的运行仍然与从前相同。
使用Windbg调试目标程序去分析异常的两实战案例分享
dvlinker的技术专栏
02-22 2万+
使用Windbg动态调试目标程序去分析异常的两实战案例分享。
何时使用Windbg静态分析?何时使用Windbg动态调试
热门推荐
dvlinker的技术专栏
07-19 4万+
详细讲述何时使用Windbg静态分析,何时使用Windbg动态调试
使用Windbg调试目标进程的一般步骤及要点详解
dvlinker的技术专栏
06-04 3万+
本文以一个具体的崩溃实例来详细讲述使用Windbg动态调试目标进程的一般步骤及相关要点。
WindbgPreview 分析dmp 文件
随心动,随风行
04-27 8173
实现一个可以生成dmp文件的代码 代码可直接复制、编译 #include <iostream> #include <windows.h> #include <dbghelp.h> #pragma comment (lib, "dbghelp.lib") #include <conio.h> #include <tchar.h> using...
WinDbg详细教程
02-15
30MB的WindDbg教程 内核调试
windbg中文版(含32位64位原版)
10-12
windows蓝屏分析工具,可以分析windows蓝屏后生成的后缀DMP的文件,软件中文免安装,还附带原版英文32和64位。
探索现代调试艺术:WinDbg Preview 开源工作坊
gitblog_00032的博客
06-07 339
探索现代调试艺术:WinDbg Preview 开源工作坊 在Windows开发者和黑客的世界里,工具的选择至关重要。然而,许多人依然坚持使用传统工具如OllyDbg和Immunity Debugger进行二进制分析。现在是时候打破旧习惯,拥抱全新的WinDbg Preview了。这个开源项目提供了DEFCON 27的实战工作坊材料,旨在提升你的Windows 10系统中二进制分析的技能水平。 项...
Windbg Preview与虚拟机win10系统实现双机调试
skjie的博客
12-30 1666
在驱动开发之调试内核模块中实现了用windbg与虚拟机xp系统下的双机调试,接下来说下怎么使用windbg preview与虚拟机win10系统进行双机调试。 主要在三个方面进行配置:win10系统配置,虚拟机配置,windbg preview配置 一、win10系统配置, 1、用管理员权限运行命令行 2、设置端口 bcdedit/dbg...
Vmware进行Windows系统内核调试WinDbgWinDbg Preview
、moddemod
05-19 2355
下载:https://down.52pojie.cn/Tools/Debuggers/ 配置vmware https://www.microsoft.com/zh-cn/p/windbg-preview/9pgjgd53tn86?rtc=1&activetab=pivot:regionofsystemrequirementstab .sympath F:\symbol 参考:https://blog.51cto.com/14317856/2410156 https://download.c
使用WinDbg Preview解决Win10系统蓝屏问题
水向东流时间怎么偷
01-29 1万+
前段时间,新组装的台式机经常出现如下图所示的蓝屏现象,而且终止代码也很奇怪,每次一蓝屏都是这个界面,收集信息的进度一直为0%,刚开始以为系统或者是组装的有问题,于是重装了系统,并且拆开机箱重新检查了各个组件的连接线,然而蓝屏还是依旧,很无奈,想着新装的台式机怎么还没用就一直不稳定,经过了多次蓝屏之后下定决心一定把这个问题解决了。查找了各种方法来解决此问题,这里分享最终的解决方法。 蓝屏代码如下图所示: 终止代码为:WEHA_UNCONRRECTABLE_ERROR,意思就是不可修复??这下可犯难了,
windbg preview(预览版)独立包下载及其双机调试设置
Lixinist的博客
11-26 1万+
WinDbg Preview1.1910.3003.0下载 链接:https://pan.baidu.com/s/1ZpSrSngqW6gPoPo5_rGgAA 提取码:o9ko 由于我win10上的store一直闪退用不了,遂从室友那里下载copy过来了一份独立版 双机调试设置可以看这篇帖子 https://www.cnblogs.com/iBinary/p/11401141.html 里面写的...
windbg preview下载及其历史版本下载
What If...
12-02 1660
windbg preview下载及其历史版本下载
windbg preview分析dmp文件
07-29
请注意,使用WinDbg Preview分析dmp文件可能需要一些基本的调试知识和经验。如果你在使用过程中遇到问题,建议与你周围的同事交流并请教,因为不同版本的WinDbg界面可能略有差异\[3\]。 #### 引用[.reference_title]...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值