32位/64位WINDOWS驱动之windbg双机调试栈溢出问题分析解决

最新推荐文章于 2023-10-25 23:15:40 发布
最新推荐文章于 2023-10-25 23:15:40 发布
阅读量308 收藏
点赞数
分类专栏: 驱动开发 MFCC++编程 文章标签: windows 单片机 嵌入式硬件 驱动开发 c# c语言 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a756598009/article/details/131425658
版权
文章描述了一个在32位/64位Windows驱动中,通过PID获取进程名时引发的栈溢出问题。开发者使用Windbg进行调试,发现死循环和递归导致的堆栈溢出,根源在于GetProcessName2函数。解决方案是避免使用ZwOpenProcess。
摘要由CSDN通过智能技术生成

32位/64位WINDOWS驱动之windbg双机调试栈溢出问题分析解决

驱动层 driverentry21.c

添加一个控制码

#define 通过PID获取进程名 CTL_CODE(FILE_DEVICE_UNKNOWN,0x809,METHOD_BUFFERED,FILE_ANY_ACCESS) //读写测试

在这里插入图片描述

控制开关里面添加代码如下:

else if (控制码 == 通过PID获取进程名)
		{
			IRP_IO_通过PID获取进程名(pirp);
			return STATUS_SUCCESS;
			break;
		}

在这里插入图片描述

添加一个函数

void IRP_IO_通过PID获取进程名(PIRP pirp)
{
	PIO_STACK_LOCATION irpStackL = IoGetCurrentIrpStackLocation(pirp);//获取应用层传来的参数;
	UINT32* 缓冲区 = (UINT32*)(pirp->AssociatedIrp.SystemBuffer);//和IRP有关的系统缓冲区
	if (缓冲区)
	{
		//int*p = (int*)缓冲区;
		UINT32 PID = 缓冲区[0];

		const char*返回进程名 = GetProcessName2(PID);//16
		//写入返回数值
		if (返回进程名)
		{
			memcpy_s(缓冲区, 16, 返回进程名, 16);
		}
		
		pirp->IoStatus.Status = STATUS_SUCCESS;
		pirp->IoStatus.Information = 16;//返回给DeviceIoControl中的倒数第二个参数lpBytesReturned
		IoCompleteRequest(pirp, IO_NO_INCREMENT);//调用方已完成所有I/O请求处理操作,并且不增加优先级
	}
	irpStackL;
}

在这里插入图片描述

进程保护.h声明一下

const char* GetProcessName2(HANDLE ProcessId);//功能:进程ID,进程名称

在这里插入图片描述

MFC应用层

添加控制码:

#define 通过PID获取进程名 CTL_CODE(FILE_DEVICE_UNKNOWN,0x809,METHOD_BUFFERED,FILE_ANY_ACCESS) //读写测试

在这里插入图片描述

添加一个按钮 按钮名称 :获取进程名 双击按钮触发事件

代码如下:

void CD002122MFCDlg::OnBnClickedButton2()
{
	// TODO: 在此添加控件通知处理程序代码
	UpdateData(TRUE);//窗口数据更新到变量

	DWORD dwRetSize = 0;//返回字节数

	char buftest[256];
	sprintf_s(buftest, "yjx:EXE R3 读写测试 控制码=%X\n", 读写测试);
	OutputDebugStringA(buftest);

	//int 传入数据[3] = {3,7,8};

	UINT32 传入数据 = m_PID;// { 3, 6, 5 };

	//数组示例
	char OutBuf[32] = { 0 };//输出缓冲区
	DeviceIoControl(
		DeviceHandle,//CreateFile打开驱动设备 返回的句柄
		通过PID获取进程名,//控制码 CTL_CODE

		&传入数据,//输入缓冲区指针
		sizeof(传入数据),//输入缓冲区大小

		&OutBuf,//输出缓冲区
		sizeof(OutBuf),//返回缓冲区大小

		&dwRetSize, //返回字节数
		NULL);
	::MessageBoxA(0, OutBuf, "获取进程名",MB_OK);
}

在这里插入图片描述
虚拟机调试结果
在这里插入图片描述
const char*目标进程名 = GetProcessName2(dwProcessId);//要保护是这个进程名 这个改为GetProcessName2时出现蓝屏,蓝屏中给我们生成了dump文件
在这里插入图片描述
在文件夹C:\Windows\minidump里面
在这里插入图片描述
我们把他复制出来或者在虚拟机里面装Windows10版本1709适用于Windows10版本1709的WDK
用WinDbg (X64)来分析-附加DUMP文件
在这里插入图片描述
打开的很慢大概要4-5分钟慢慢等

在这里插入图片描述点击!analyze -v 点一次即可,比较慢

在这里插入图片描述
从上可以看出 堆栈溢出
STACK_OVERFLOW: Stack Limit: ffff840a470da000. Use (kF) and (!stackusage) to investigate stack usage.

OpenProcess,ZwOpenProcess/NtOpenProcess
NtOpenProcess->my_pre_callback->GetProcessName2->NtOpenProcess //死循环//递归//栈溢出

分析结果:形成了死循环导致堆栈溢出,不使用ZwOpenProcess即可。

a756598009
关注
专栏目录
windbg - 调试栈溢出及一个崩溃示例
tuan8888888的博客
02-15 7330
栈溢出 程序崩溃,调试显示栈溢出 c0000409 (Security check failure or stack buffer overrun) 系统在此应用程序中检测到基于堆栈的缓冲区溢出。此超限可能会允许恶意用户控制此应用程序。 EXCEPTION_RECORD: (.exr -1) ExceptionAddress: 08f276bd (nvoglv32!vk_optimusGetInstanceProcAddr+0x000c549d) ExceptionCode: c00004
一句话总结Windbg 32位版本和64位版本的选择
weixin_34356310的博客
11-16 280
用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32位的工具和一系列64位的工具。这让人觉得和费解,因为在我们安装Microsoft Visual Studio的时候你根本不需要考虑32位还是64位。 如果你正使用windbg调试工具...
windbg分析栈溢出
Jaylon的专栏
02-23 1877
本文根据《windows高级调试》5.2.2章节提供的示例进行的实验,在win10平台,使用该书提供的bin文件进行调试,因平台不一样在实验过程中发现跟书上有些不同,本章书上的一些调试方法的正确性有待商榷(可以留言讨论)。 调试准备 (1)代码,见文章末尾; (2)将以下注册表保存到.reg后缀的文件,点击添加到注册表; Windows Registry Editor Version...
32位/64位WINDOWS驱动windbg双机调试
a756598009的博客
06-24 3877
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
通过Windbg查找栈溢出的方法之一
08-12 813
在阅读《windows高级调试》时看到此方法,自己作下笔记,以免忘记。 1、在一个程序或者产品出错后,使用Windbg进行进程附加。 2、查看当前程序执行到何处,即eip的值,通过命令lm a eip 查看当前程序执行到什么模块了,若是正常的,下面eip=7c875f
驱动开发入门-之二:Win7x64 - WinDbg 双机调试环境搭建
10-14
综上所述,本文为读者详细讲解了如何在Windows 7 x64环境下搭建使用WinDbg进行驱动程序双机调试开发环境,包括调试环境的必要性、调试工具WinDbg的介绍、双机调试环境的搭建方法,以及相关预装组件和工具的配置。...
使用Windbg双机调试驱动
08-07
"使用Windbg双机调试驱动" Windbg是微软出品的一款双机调试软件,用于调试Windows内核程序。双机调试的主要思想是使用虚拟机和主机来进行调试,虚拟机上安装要调试的操作系统,而主机上安装Windbg调试前的准备 ...
WingDbg_v1.0双机调试看不到寄存器_调试_windows_windbg_
10-01
解决win10下windbg无法显示寄存器的BUG,老外写了一个补丁的扩展。下载编译好的wingdbg.dll,放windbg相同目录下,执行!wingdbg.regfix,重新打开寄存器窗口就OK了。
7.windbg搭建双机调试环境.mp4
09-10
windows x64位驱动程序开发 7.windbg搭建双机调试环境
WinDBG_x64
12-21
Windbg64是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大
64位WinDbg
04-02
WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。
winDBG 32位64位版本
10-18
winDBG 32位64位版本
windbg中文版(含32位64位原版)
10-12
windows蓝屏分析工具,可以分析windows蓝屏后生成的后缀DMP的文件,软件中文免安装,还附带原版英文32和64位
windbg x64
10-27
WinDbg是微软发布的一款免费而十分强大的调试工具 x64
01-windows栈溢出
最新发布
blind cat
10-25 169
windows pwn
Windbg 32位版本和64位版本的选择
mergerly的专栏
02-22 6001
用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32位的工具和一系列64位的工具。这让人觉得和费解,因为在我们安装Microsoft Visual Studio的时候你根本不需要考虑32位还是64位。 一、了解调试的机器类型 如果你正使
windows driver双机调试环境搭建,用windbg或者debug view查看内核调试输出
QuanWaiRen0的博客
11-09 1576
windows driver开发环境搭建,内核双机调试环境搭建,debug view查看调试信息, windbg 查看内核打印信息
windbg调试64位程序
王洪敏的专栏
01-03 3762
前一段碰到这样一个问题: When debugging a Managed Crash dump file,  windbg shows "Failed to load data access DLL". but when execute command ".cordll", shows the mscordacwks.dll was already loaded.n
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值