windbg前奏

最新推荐文章于 2024-08-07 22:27:04 发布
最新推荐文章于 2024-08-07 22:27:04 发布
阅读量177 收藏
点赞数
分类专栏: windbg 文章标签: NT系统,9x内核 内核 windbg符号路径
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ma_Hong_Kai/article/details/83858842
版权

一、NT系统,9x内核

NT系统

Microsoft Windows NT(New Technology)Microsoft1993年推出的面向工作站、网络服务器和大型计算机的网络操作系统,也可做PC操作系统

Windows NT内核(和驱动):

  1. 内核是闭源的,只能通过驱动进去搞事情,但是驱动他嘛的是需要权限才可以安装的。
  2. 现在的NT内核因为x64下面patch guard技术的引入,所以Hook无法乱搞,限制了驱动该事情
  3. x64要求驱动有sign(签名),恶意代码进系统比以往有了很大的难度

注:NT其实有一大弱点,就是r3有几个进程是不能结束的,crash掉会马上BSOD

patch guard(防护补丁)是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核

 

内核的特点:

1 、当下的NT内核提供了ASLR(Address space layout randomization),大大提高了进程被inject后shellcode run起来的难度;
2、 传统NT的ACL模型就不废话了
3、 UAC用户帐户控制(User Account Control)
4、 EFS(Encrypting File System)和Bitlocker(驱动器加密),EFS的易受攻击性已经是被证明的,所以这货只能提供有限的安全性,但是Bitloacker在正确配置的情况下,可以提供几乎不存在什么弱点的安全保护
5 、UMDF(用户模式驱动模型 User Model Driver Foundation),因为内核驱动会导致BSODBlue Screen of Death,所以现在NT内核提供用户模式驱动,这货崩掉只会导致一个系统服务crash,重启服务即可(并不是重启计算机,比如USB的,只需要重新插一下就行了)

 

知识链接:

ASLR

Address space layout randomization(地址空间配置随机加载)ASLR(Address space layout randomization)是一种针对缓冲区溢出安全保护技术,通过对、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。

ASLR(达到数操作系统都在使用):

 

shellcode

实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限(利用漏洞进行攻击)

 

ACL模型:

ACLAccess Control List)包含用户(User)、资源(Resource)、资源操作(Operation)三个关键要素。通过将资源以及资源操作授权给用户而使用户获取对资源进行操作的权限。

https://www.cnblogs.com/xiang/articles/319309.html

winDBG调试

1、符号路径

SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols

或者

srv*d:\symbolslocal*http://msdl.microsoft.com/download/symbols

然后是紧跟分号,加上该工程的pdb文件路径

参考:

https://blog.csdn.net/witxjp/article/details/8118481

https://blog.csdn.net/jayxujia123/article/details/19966319

Ma_Hong_Kai
关注
专栏目录
Windbg使用详解
dvlinker的技术专栏
10-07 2万+
本文详细介绍了Windows调试工具Windbg的使用。
Windbg调试工具介绍
dvlinker的技术专栏
06-28 1万+
本文详细介绍一下Windbg的相关内容。
Windows X64 Patch Guard
zz_strive_2012的专栏
05-25 960
先简单介绍下PatchGuard ,摘自百度百科 PatchGuard就是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。 PatchGuard为Windows Vista加入一个新安全操作层,此前我们为您介绍过的ASLR(Address Space Layout Randomization)亦在这个安全层之下。 PatchGuard能够有效防止内核驱动模式改动或替换Windows内核的任何内容,第三方软件将无法再给Wi
windbg常用命令
Simona_Wu的博客
08-07 377
scriptload : 加载 JavaScript 脚本。windbg -p : 按进程 ID 启动调试。windbg -pn : 按进程名称启动调试。F10: 单步执行,不进入函数(相当于 p)。F11: 单步执行,进入函数(相当于 t)。process 0 0: 列出所有进程。kp: 显示带参数和调用约定的堆栈调用。process: 列出当前系统进程。lmv: 列出加载的模块及其详细信息。handle: 列出当前进程的句柄。thread: 列出当前进程的线程。.logopen : 打开日志文件。
WinDbg 调试命令
Echo的博客
10-20 462
windbg 调试命令 #调试执行控制 g // Go(F5) gH // 执行gH命令强制让调试器返回已经处理了这个异常。【Go with Exception Handled】 // 系统收到这个回复后会停止分发异常(因为调试器声称已经处理了异常),恢复调试目标继续执行, // 但由于异常条件仍在,所以还会产生异常,于是再次分发,WinDBG再次中断到命令模式。 gN // 【Go with Exception Not Handled】 // 执行gN命令强制
Windbg远程调试
sanganlei的博客
05-27 652
Windbg远程调试 场景: PC1:被调试主机 PC2:调试机客户端 被调试机的操作步骤 以管理员身份运行windbg File->open executable打开要调试的应用程序(如果程序已经运行,可以附加File->attach to a process) 在命令行中输入 .servertcp:port=9090 在被调试机器上设置pdb文件的路径 调试机器上的设置 设置...
windbg调试中文帮助文档
Mr.Sugarcane
01-23 946
windbg中文文档
windbg:常用指令
Mr.Sugarcane
01-25 724
windbg调试常用指令
Windbg串口联调
CSDN博客
06-20 776
使用Windbg进行目标机的内核驱动调试时,可以使用的连接方式有USB、网络、串口等。 串口调试的连接方法 一、目标机的设置 bcdedit /set {default} DEBUG YES bcdedit /debug on bcdedit /dbgsettings serial debugport:X baudrate:115200 a. 以下是Windbg的帮助文档中给出的设...
Windbg介绍
热门推荐
u010607621的博客
06-15 1万+
1. 介绍 1.1. 相关网站 微软网站 社区网站 调试分享 1.2. 下载 对于Win10,推荐使用微软商店下载windbg preview版本。其它的os,可以下载windows sdk,在安装选项中选择windbg。 preview版本皆可调试32,64位进程内核。传统版本分为32和64两个版本,但优势在小巧便携。 1.3. 符号配置 微软的动态库,exe等,微软一般会公开pdb文件的下载,windbg经过配置后,会自动下载,从而利于解析程序的数据结构。 简易的方法是配置环境变量_NT_SYMBOL
Windbg中文调试手册
04-26
**Windbg中文调试手册概述** Windbg是一款强大的调试器,主要用作分析故障转储、实时用户模式和内核模式代码的调试工具。它具备现代的界面设计,完善了脚本功能,支持可扩展的调试数据模型,以及内置的时程调试...
最新版WinDbg离线安装包
11-07
最新版WinDbg离线安装包
写入的dump文件为0kb (1、MiniDumpWriteDump 简单理解)
Ma_Hong_Kai的博客
12-18 7561
1、了解下MiniDumpWriteDump MiniDumpWriteDump (vs2008) MSDN ImageHlp.h 文件 // …… 4647-4657 BOOL WINAPI MiniDumpWriteDump( IN HANDLE hProcess, IN DWORD ProcessId, IN HANDLE hFile, IN...
半路出家windbg(先搞清楚自己分析出来的参数都是什么意思)
Ma_Hong_Kai的博客
11-02 3697
  符号路径下载:(第一次 .reload 时间比较长) SRV*C:\Symbols* http://msdl.microsoft.com/download/symbols // 我改的是D盘 一、先试一下  加载符号表后,输入!analyze  -v ———————————————————————————————————————— ——————————————————————...
半路出家windbg(莫名其妙的实践)
Ma_Hong_Kai的博客
11-02 244
一、莫名其妙的实践 添加源文件后的,pdb文件,map文件(dump文件和源码编了好几次可能和和上面有所不同,实际上我只加载了pdb也可以): 输入 !analyze -v 红色箭头是看栈的顺序,红色框处的是代码出问题的语句 最后自己分析原因是:Byte类型自己输出使用的是%s,然后前辈写的函数(logprint)里...
基于SpringBoot仿天猫购物系统.zip(毕设&课设&实训&大作业&竞赛&项目)
09-20
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问题欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
Python网络爬虫与推荐算法新闻推荐平台(毕设&课设&实训&大作业&竞赛&项目)
最新发布
09-20
Python网络爬虫与推荐算法新闻推荐平台:网络爬虫:通过Python实现新浪新闻的爬取,可爬取新闻页面上的标题、文本、图片、视频链接(保留排版) 推荐算法:权重衰减+标签推荐+区域推荐+热点推荐.zip项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问题欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用。
THUCNews数据集
09-20
THUCNews数据集
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ma_Hong_Kai

微信 2936729162

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值