windbg分析
文章平均质量分 50
a756598009
这个作者很懒,什么都没留下…
展开
-
32位/64位WINDOWS驱动之 遍历+HOOK_SSDT_NtOpenProcess函数_w7_w10通用系统版本
KIRQL WPOFF()//关闭写保护//ULONG_PTR 这个类型在x86上是32位 x64就是64位#else#endif_disable();//关闭中断//关闭写保护位VOID WPON(KIRQL irql)//打开写保护//恢复写保护位_enable();//恢复中断/*aria v1.0*在易编程学院发布。*版权所有 2023*许可证:ybc-cn*修改时间:2024年1月21日17:42:26(中国标准时间)原创 2024-01-21 17:54:19 · 922 阅读 · 0 评论 -
Windbug双机调试 驱动时KDPrint、DbgPrint不能打印的问题解决
新建key,名字为Debug Print Filter ,然后在此key下新建一个DWORD value ,名字为DEFAULT,然后设置值为0x00000008,我使用的是双机调试方式,开始以为调试起来会很方便,环境很快搭好,但问题来了windbg 上怎么也打印不出来。后来通过查找资料,看到有人介绍修改注册表的办法来解决。(从网上找了一个工具(SetDbgPrintFiltering.exe)设置内核打印级别,其原理和前面设置注册表一样)下载:设置数据库打印过滤 (osronline.com)原创 2023-07-22 11:38:06 · 642 阅读 · 0 评论 -
32位/64位WINDOWS驱动之windbg分析进程句柄表和句柄权限地址关系
【代码】32位/64位WINDOWS驱动之windbg分析进程句柄表和句柄权限地址关系。原创 2023-07-16 20:25:58 · 283 阅读 · 0 评论 -
32位/64位WINDOWS驱动之windbg分析ObReferenceObjectByHandle取回进程句柄的过程
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。原创 2023-07-16 19:03:01 · 532 阅读 · 0 评论