Undocumented Windows 2000笔记之二:Windows调试支持

最新推荐文章于 2021-08-27 14:21:29 发布
最新推荐文章于 2021-08-27 14:21:29 发布
阅读量2k 收藏
点赞数
分类专栏: 我的作品 文章标签: windows function debugging linker filter 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nsun/article/details/219674
版权

       第一章:Windows调试支持

      gushaow@mails.gscas.ac.cn

符号文件

      安装Windows 2000 Customer Support-Diagnostic Tools光盘。如果是free build,运行/symbols/i386/retail/symbolsx.exe,如果是checked build,运行/symbols/i386/debug/symbolsx.exe。默认在%systemroot/symbols目录下添加环境变量_NT_SYMBOL_PATHDDK的核心驱动文档说,Symbols子目录必须被包括。但在平台SDK文档中,关于dbghelp.dll的符号路径有不同说法:库使用符号搜寻路径为.dll,.exe.sys文件定位调试符号(.dbg文件),分别添加/symbols,/dll/exe,/sys到路径。比如一般.dll文件的符号文件位于c:/mysymbols/symblos/dll。如果你设置了_NT_SYMBOL_PATH环境变量。搜寻路径如下:

   1程序的当前工作目录

   2_NT_SYMBOL_PATH环境变量

   3_NT_ALT_SYMBOL_PATH环境变量

   4 SYSTEMROOT环境变量

     听起来_NT_SYMBOL_PATH应该设置成d:/winnt,而不是d:/winnt/symbols。事实上,两者都是可以的。

  

   如果要用i386kd来检查crash dump文件,需要-z参数,比如快捷方式的目标为 /bin/i386kd.exe –z c:/winnt/memory.dmp

   kd的扩展dllkdextx86 userkdx dbghelp。可以在扩展命令前面加模块的名字。

   最有用的十大调试参数:

u:反汇编机器码.

格式: u <from> 反汇编八条机器指令;u <from> <to>不包括<to>所指的机器指令;u 从上一次u命令停止的地方开始反汇编。u命令最令人感兴趣的地方在于它能够解析没有被目标模块导出的内部符号。

db,dw,dd:显示内存

参数和u命令一样,只不过<to>所指内容也被包括,如果没有参数,将显示128-byte

x:检查符号

   它能够创建已安装符号文件得到的符号列表。

1 x *!* 显示所有模块的符号列表。启动之后,只有ntoskrnl.exe的符号默认可用。

2 x <module>!<filter>显示<module>的符号文件中用<filter>过滤得到的符号列表。比如x nt!*,列出所有ntoskrnl.dbg中的符号。x win32k!*列出win32k.dbg中的符号。

3 x <filter>显示所有可用符号匹配<filter>表达式的部分。符号名和关联的虚拟地址都会显示。对于函数名,那是函数的入口地址。对于变量,那是指向基地址的指针。最重要的是,它的输出包括许多内部符号,不仅仅是可执行文件的输出表。

ln:列出最近的符号.

  如果你需要许多符号的一个地址列表,ln命令可以用符号的名字或者地址察看单个符号。

l       ln <address>显示给定地址附近的符号。

l       ln<symbol>把给定的符号名字解析成虚拟地址,并且象ln <address>一样处理.

请注意,u,db,dw,dd可以接受符号(解析成地址)。

!processfields:列出EPROCESS成员(kdextx86.dll中的命令)

这个命令列出进程结构的所有偏移和成员

!threadfields:列出ETHREAD成员

!drivers:列出所有已经加载的驱动

在新版的debugging tools中已经不再支持,而是lm代替

!sel检查选择子的值。

如果没有参数,显示16个内存选择子。在新版debugging tools中,被内部命令dg代替。dg <from> <to>

作者作为多年汇编程序员的最后成果


调试接口

psapi.dll,imagehlp.dll,dbghelp.dll

psapi提供了14个查询系统信息的函数,包括驱动程序,进程,内存使用,进程模块,工作集,内存映射文件。

imagehlpdbghelp,包括不同范围的任务。它们导出相似的函数集,imagehlp提供更多的函数,而dbghelp是可以重发布的组件。它们都包括很丰富的分析和操作PE文件的函数。它们的主要区别在于从符号文件中解析符号的能力.1-1列出了两个dll所导出的函数。p51-53

psapi.dllimagehlp.dll可以完成如下任务

l       枚举所有的内核组件和驱动

EnumDeviceDriversGetDeviceDriverFileName

l       枚举系统当前管理的所有进程

EnumProcessesOpenProcess

l       枚举加载到一个进程虚拟地址空间的所有模块

   EnumProcessModules

l       枚举给定组件的所有符号,如果符号可用。

因为psapi.dllimagehlp.dll函数不是标准Win32 API的一部分,所以在VC++工程中,它们的头文件和导入库不会自动包含。如果使用它们,需要如下四行语句:

#include<imagehlp.h>

#image<psapi.h>

#pragma comment(linker,"/defaultlib:imagehlp.lib")

#pragma comment(linker,"/defaultlib:psapi.lib")

w2k_sym.exe和w2k_dbg.dll使用了这两个dll。

2kHMODULE就是模块的基地址,在sdk头文件中,它被定义为HINSTANCE的别名,而后者是HANDLE类型.尽管如此,在严格意义上来说HMODULE不是句柄.句柄通常是系统维护的表格的索引,对象的属性从那里查找,每一个系统返回的句柄增加对象的句柄计数。对象实例在所有句柄被返回给系统之前无法从内存中移走。函数CloseHandle就是用于这个目的的。对应的本机函数是Ntciose ( ) 。关于HMODULES的要点在于它不需要关闭。SDK文档中GetModuleHandle ( )的评论部分指出多线程应用程序必须小心。因为一个线程可能卸载模块,使得另一个线程使用的HMODULE无效。     

两种情况下HMODULE可以保持有效

1. 通过LoadLibrary ( ) or LoadLibraryEx ( )返回的HMODULE在进程调用FreeLibrary ( )之前有效 ,因为这些函数与模块参考计数有关,因此阻止了其它线程不可预料的卸载。

2. 一个从不同进程来的HMODULE有效,如果引用一个永久加载的模块。比如,所有的Windows 2000内核模块(不包括核心驱动程序)总是映射到不同进程固定的相同地址,在进程的生命周期中都有效。

不幸的是从psapi.dll函数EnumProcessModules返回的模块句柄不符合上面两种情形。所以只在调用的当时有效。这个和EnumDeviceDrivers,EnumProcesses返回的数组都是同样的问题。

EnumProcessModules函数比前几个好,因为它指示了还有多少字节missing,请注意list1-7中并没有包含增长缓存的循环。基本上,它调用,NtQueryinf ormationProcess ( ) 得到目标进程的PEB,然后从PEB获得模块信息表的指针。因为这些数据都在另一个进程中,所以需要调用ReadProcessMemory 去获得数据

调整进程特权

打开低ID进程需要更高权限。通过把自己声明为调试器可以获得更多权限。

调整权限的步骤:

1 调用advapi32.OpenProcessToken,打开进程令牌。

2 准备一个包含需要权限的TOKEN_PRIVILEGES结构。通常用advapi32.LookupPrivilegeValue。特权用名字说明,在winnt.h中定义了27个特权的名字和符号。比如,调试特权是SE_DEBUG_NAME,等价于字符串"SetDebugPrivilege"

3 调用advapi32.AdjustTokenPrivileges()

 

GetCurrentProcess返回一个伪句柄-1, GetCurrentThread也返回一个伪句柄-2

 

微软符号信息通常包含前缀或者后缀。C语言产生的代码常常有下划线或@开头。@表示_fastcall函数,而下划线表示_stdcall_cdecl函数。因为fastcallstdcall预定把清除参数堆栈的任务留给了被调用函数,符号信息也包含了调用者放入堆栈的参数字节数。这个信息通过@分隔的十进制数方式附加于后面。全局变量和_cdecl函数一样对待。

 

symbol                               Undecorated symbol (might have been declared in an ASM module)

_symbol                             cdecl function or global variable

_symbol@N                       stdcall function with N argument bytes

@symbol@N                      fastcall function with N argument bytes

_imp_symbol                     import thunk of a cdecl function or variable

_imp_symbol@N               import thunk of a stdcall function with N argument bytes_

_imp_@symbol@N            import thunk of a fastcall function with N argument bytes

?symbol                             C++ symbol with embedded argument type information

__@@_PchSym_symbol    PCH symbol

    原书接下来还有很大部分是对微软调试文件格式的分析,没有耐心看下去了。

Nsun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Analysis of undocumented Windows function NhGetInterfaceNameFromDeviceGuid
yichigo的专栏
04-11 778
The function NhGetInterfaceNameFromDeviceGuid is derived from the DLL IPHLPAPI. Its effect is to obtain device interface name according corresponding GUID. Such as the network interface card GUID for
Undocumented Windows 2000 Secrets》翻译 --- 第一章(2)
Kendiv's Box
01-14 2904
第一章  Windows 2000调试技术的支持翻译:Kendiv(fcczj@263.net)更新:Friday, January 18, 2005声明:转载请注明出处,并保证文章的完整性,本人保留译文的所有权利。 内核调试器的命令尽管调试器的命令已经注意了易记性,但有时总是难以回忆起它们。因此,我把它们都整理到了附录A中。表A-1是其快速参考。这个表是调试器的help
Windows调试
千祠的博客
09-24 343
Windbg调试WinDbg概览 WinDbg概览   WinDbg是著名的Windows平台的调试器,既可以用用户态调试、也可以用内核态调试。   WinDbg架构是一个引擎,上面有多个可执行程序。 虽然WinDbg是个具有GUI的调试器,但是我们很多时候还是需要输入命令进行调试。 ...
windows 2000 debug symbols
09-03
windows 2000 debug symbols If you plan to install symbols manually, it is crucial that you remember this basic rule: the symbol files on the host computer are required to match the version of Windows installed on the target computer. If you are planning to do a kernel mode debug of a Windows XP target from a Windows 2000 host, you need to install the Windows XP symbol files on the Windows 2000 system. If you plan to perform user-mode debugging on the same computer as the target application, then install the symbol files that match the version of Windows running on that system. If you are analyzing a memory dump file, then the version of symbol files needed on the debug computer are those that match the version of the operating system that produced the dump file, not necessarily those matching the version of the operating system on the machine running the debug session.
Undocumented Windows 2000笔记之三:本机API
鱼翔浅底
12-17 1906
                            第2章:本机API                     gushaow@mails.gscas.ac.cn    除了Win32 API,NT平台开放了另一个基本接口就是本机API。内核模式驱动和文件系统驱动的开发人员可能已经熟悉了本机API,因为内核模式模块位于更低的系统级别,在那个级别上环境子系统是不可见的。尽管如此,并不需要驱动
明翰恶意软件分析笔记V0.1(持续更新)
欢迎!欢迎来到17号城市!
08-27 2173
文章目录恶意软件分析恶意软件能做什么恶意代码类型1. 基础静态分析反病毒引擎扫描【工具】恶意代码的指纹`查找字符串【工具】`加壳PEiD【工具】PE文件格式文件头 PE header`DLL文件结构`DLL表分节(Section)`.text(代码段)`.rdata(数据段)`.data(数据段)`.idata(数据段).edata(数据段).rsrc.reloc未整理PE View【工具】PE Studio【工具】PE Viewer【工具】Resource Hacker【工具】链接库与函数`DLL文件`静
Undocumented Windows 2000 Secrets.rar_Undocumented Windows_undoc
最新发布
09-20
通过这份“Undocumented Windows 2000 Secrets”资料,读者可以了解到许多官方文档中未提及的高级技术信息,这些信息对于系统优化、问题排查和安全增强可能至关重要。例如,理解未公开的系统调用可能帮助开发者编写...
Undocumented Windows 2000 Secrets简体中文版.zip
03-16
7. **硬件兼容性**:Windows 2000支持广泛的硬件设备,书中可能包含关于硬件驱动程序的编写和安装,以及如何解决硬件兼容性问题的指南。 8. **系统升级与迁移**:书中可能会讲解从早期Windows版本向Windows 2000...
UNDOCUMENTED WINDOWS 2000
03-19
描述中的“未公开的Windows 2000”进一步强调了本书的核心内容,即探讨那些不为人知的操作系统特性,可能包括隐藏的设置、调试工具、性能优化策略以及可能的安全漏洞处理方法等。这些深入的知识可以帮助读者更好地...
Undocumented Windows 2000 Secrets简体中文版
05-01
5. **硬件驱动程序**:Windows 2000如何识别和管理硬件设备,以及如何调试和优化驱动程序,对于驱动开发者和硬件爱好者极具价值。 6. **系统调试工具**:可能包含一些高级调试工具和技术,帮助开发者定位和解决问题...
Undocumented Windows 2000 Secrets 源码
04-14
7. **文件系统**:Windows 2000支持多种文件系统,如NTFS和FAT。源码可能包含关于文件操作、元数据管理和文件权限控制的实现。 8. **调试技术**:书中源码可能涉及到调试工具的使用,如WinDbg,以及如何进行内核级...
Windebug的一个缺点
聪明的狐狸
01-18 1153
最近碰到一些难fix的bug,开始借助Windebug调试应用程序,发现在使用windebug时有一个缺点。网上好多文章都提到可以通过配置环境_NT_SYMBOL_PATH= SRV*C:\My LocalSymbols*http://msdl.microsoft.com/download/symbols  加载系统pdb,但是在使用过程中发现,一旦添加了这个环境变量,以后在使用VS2008或者W
Undocumented Windows 2000 Secrets》翻译 --- 第一章(1)
Kendiv's Box
01-12 5478
第一章  Windows 2000调试技术的支持翻译:Kendiv(fcczj@263.net)更新:Friday, January 14, 2005本书的主页:http://www.orgon.com/w2k_internals/本书电子版的下载地址:http://www.volynkin.com/references.htm声明:转载请注明出处,并保证文章的完整性,本人保留译文的
window调试学习1——windbg调试环境配置
——
09-20 2658
关于项目上内存的bug,已经ls
十 风险评估
鱼翔浅底
10-23 8653
2.10风险评估2.10.1等级保护    随着信息技术的发展,信息系统安全问题已经被提到关系国家安全和国家主权的战略性高度,已引起党和国家领导同志和社会各界的关注。特别是随着"金"字工程、政府上网、电子商务、电子军事等信息化建设和发展,作为现代信息社会重要基础设施的信息系统,其安全问题必将对我国的政治、军事、经济、科技、文化等领域产生至关重要的影响。   1998年5月22日,美国颁布了关于保护
windows符号文件的设置
鱼翔浅底
11-21 5141
    问题的起因在于想用livekd调试内核,需要指定相应的符号文件。这个问题困扰了我好几天。系统是win2k+sp4中文版,一开始下载了Windows 2000 Customer Support Diagnostics 和sp4 symbols,依次安装之后,运行livekd指定路径,每次都提示:"Could not resolve symbols for ntoskrnl.exe"然后退出,
七 物理安全
鱼翔浅底
10-23 2993
2.7物理安全    在有关信息安全的讨论中,物理安全有时候常常被一些人有意无意地忽略了。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。    显然地震、水灾、操作失误等等都属于不可预测因素,所以没有绝对的物理安全。    广义的安全还包括设备实
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值