记录一下-Windows内核会话和内核调试引擎

最新推荐文章于 2021-03-20 15:44:16 发布
最新推荐文章于 2021-03-20 15:44:16 发布
阅读量831 收藏 1
点赞数 1
Windows启动内核调试后,主要做了以下几个工作
1.  建立连接
2.  调试器读取目标系统信息,初始化调试引擎(目标机)。
3.  内核调试引擎通过状态变化信息包通知调试器加载初始模块的调试符号(目标机)。
4.  调试器端发送中断包,将目标系统中断到调试器,交互调试后又恢复执行的过程。
5.  因断点命中,目标系统中断到调试器的过程。

6.  内核中的模块输出调试字符串(DbgPrint)到调试器


内核调试引擎:
内核调试引擎相当于再目标系统中进行调试的一个代理,调试引擎代表调试器来访问和控制目标系统。
内核调试的几个关键函数:

KdEnterDbugger
它用于冻结内核,调用后首先会禁止中断,对于多处理器的系统,它会将当前CPU的IRQL升高到HIGH_LEVEL并冻结所有的其他的CPU。锁定调试调试通信端口,调用KdSave让通信扩展模块保存通信状态,并将全局变量KdEnteredDebugger设置为真。当KdEnterDebugger执行后,整个系统进入一种简单的单任务状态,当前的CPU只执行当前的线程,其他CPU处于冻结状态。
KdExitDebugger 恢复内核运行,主要工作有调用KdRestore让通信扩展模块恢复通信状态,对锁定的通信端口解锁。调用KeThawExecution来恢复系统进入正常的运行状态,包括恢复中断,降低当前CPU的IRQL,对多CPU系统,恢复其他CPU。
KdpReportExceptionStateChange CPU报告异常类状态变化
KdpReportLoadSymbolsStateChange CPU报告符号加载类异常
KdpSendWaitContinue 函数用来发送信息包,与调试器对话。
KeUpdateSystemTime函数在每次更新系统时间时会检查全局变量KdDebuggerEnable来判断内核调试引擎是否被启动,如果为真则调用KdPollBreakIn函数来查看调试器是否发送了终端命令,如果是,则调用DbgBreakPointWithStatus触发断点异常,中断到调试器。
kdpTrap来处理内核态的异常。当内核态中发生异常时,KiDispatchException函数会调用全局变量KiDebugRoutine所指向的函数。当调试引擎启用时,这个变量的值是函数KdpTrap的地址。所以一旦异常发生时,系统就会调用KdpTrap。KdpTrap调用KdpReport向调试器报告异常。
KiSaveProcessorControlState保存CPU的控制状态
KiRestoreProcessorControlState恢复CPU状态
DbgPrint,DbgPrintEx,vDbbgPirntEx打印调试信息

allenwangdiy
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows内核调试器原理浅析
01-05 1390
前段时间忽然对内核调试器实现原来发生了兴趣,于是简单分析了一下当前windows下主流内核调试器原理,并模仿原理自己也写了个极其简单的调试器:)  WinDBG  WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftICE这类内核
DebugView-Windows内核调试工具
12-27
Windows操作系统中,内核调试是一项至关重要的任务,它帮助开发者诊断系统级的问题,例如驱动程序错误、系统崩溃或性能瓶颈。DebugView作为一个轻量级的工具,可以在不修改系统设置的情况下,轻松地进行内核调试。...
windows超级内核调试工具WINDBG
03-01
windbg,系统级超级调试工具,可以调试进程,还原dump文件的具体环境,特别针对调试微软蓝屏的一款相当棒的微软提供的系统内核调试工具!
Linux内核中的进程组及会话
vip_zhouch的专栏
01-24 337
转自:http://www.linuxforum.net/forum/gshowflat.php?Board=linuxK&Number=648409&page=3&o= Linux内核中的进程组及会话 将阐述Linux内核中的如下几个概念 1) 进程组
巨杉内核笔记 | 会话(Session)
weixin_30549657的博客
08-28 119
SequoiaDB 巨杉数据库是一款金融级分布式关系型数据库,坚持从零开始打造分布式开源数据库引擎。“内核笔记系列”旨在分享交流 SequoiaDB 巨杉数据库引擎的设计思路和代码解析,帮助社区用户深入理解 SequoiaDB 的实现原理,共建开源开放的数据库技术生态。01 基本概念会话与连接是两个容易混淆的概念。会话(Session) 指是通信双方从开始通信到通信结束期间的一个上下文(...
Windows内核会话机制
fa1c4的blog
03-20 289
Windows内核在6.0版本后增加了会话管理机制, 注意5.x之前的版本是没有的. 贴个内核版本截图(wiki) 内核在6.0以后就是vista, Win7时代开始有的会话机制. 会话(session), 指登陆后的用户环境, 多个用户登录时, 就给每个用户提供一个独立的环境. 远程桌面链接也是一个用户登陆, 有独立的环境. Windows XP系统的第一个登陆的用户会话ID是0, 而Windows 7第一个登陆的用户ID是1, 系统会话都是0. 所以Win7下用户会话不是系统会话, 由此出现XP中能
Windows调试工具入门4 - WinDbg内核调试配置
12-25
在深入探讨Windows调试工具入门第四部分,特别是关于WinDbg内核调试配置的主题之前,首先我们需要理解WinDbg的基本概念。WinDbg是一款强大的、功能丰富的调试器,由微软开发,用于对Windows操作系统进行用户模式和...
使用WinDbg进行Windows内核调试的详细过程
08-16
本文详细介绍了如何使用WinDbg进行Windows内核调试的过程,从虚拟机的创建和配置到实际的调试操作。通过这些步骤,您可以有效地诊断和解决操作系统层面的问题。掌握了这一技能,无论是对于驱动开发者还是系统工程师...
KD内核调试
07-02
在IT领域,内核调试(Kernel Debugging,简称KD)是一项至关重要的技能,尤其是在系统开发、维护和故障排查中。"KD内核调试"是指利用专门的工具和技术对操作系统的内核进行诊断和修复的过程。这涉及到深入理解操作...
Windows内核调试培训资料(windbg)(3)
05-05
### Windows内核调试培训资料(windbg)知识点详解 #### 一、Windbg环境配置 在进行Windows内核级别的调试之前,确保环境正确配置是非常重要的。以下步骤详细介绍了如何为Windbg调试做好准备: 1. **解压实验资料**...
内核调试工具(softice 使用手册)
12-11
Soft-ICE 是一个软体除错工具。可是它拥有相当於硬体侦错器(hardware-level)的能力, 使它能凌驾於 DOS 一般的除错程式之上。 Soft-ICE 使用 386 的虚拟 86 模式(virtual 86 mode) 将 DOS 所有程式摆在 一个虚拟机器 (Virtual Machine) 上, 使得 Soft-ICE 可以完 全控制 DOS 的环境。 Soft-ICE 使用 80386 保护模式的特色, 像是 paging、I/O privilege level 和 break point register,加'硬体侦错器'中断指示著你存在的DOS 除错程式.
Linux内核调试的方式以及工具集锦
zjy900507的博客
06-27 3347
CSDNGitHubLinux内核调试的方式以及工具集锦LDD-LinuxDeviceDrivers/study/debug 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可, 转载请注明出处, 谢谢合作 因本人技术水平和知识面有限, 内容如有纰漏或者需要修正的地方, 欢迎大家指正, 也欢迎大家提供一些其他好的调试工具以供收录, 鄙人在此谢谢啦 "调试难度本来就是写...
内核调试
mounter625的专栏
06-08 1690
Section #1. Kernel Debuggers The instruction-level Kernel DeBugger (kdb) and the source-level Kernel GNU DeBugger (kgdb) are the two main Linux kernel debuggers. Whether to include a debugger as part...
windows内核调试工具
xgy_888888的博客
05-04 337
调试windows内核一般采用双机调试。 创建一个虚拟机然后使用windbg的工具进行内核调试。virtualkd套件会让使用更加方便。
内核6中的会话
qq_39249347的博客
09-02 162
会话 会话指的是登陆后的用户环境,大部分OS允许多个用户同时登录,并为每个登录的用户提供独立的用户环境。 在Process Explorer的View菜单中选择“Select Columns-Session”后,即可显示当前运行进程所属的会话。 系统进程与服务进程都在ID为0的会话(系统会话)中运行。 从Windows内核版本6开始,为进一步增强系统安全性,第一个登录系统的用户会话ID被设为1,使之与系统会话区分,分离系统会话与用户会话就取消了它们之间的相互作用,采用这种机制虽然可能引起向下兼容的问题
内核调试
weixin_33713350的博客
07-05 1012
转载一篇文章:http://my.oschina.net/fgq611/blog/113249 linux内核调试方法总结。 1.二分法与printk() AB之间有个bug,在AB之间找个中间点C,使用printk,查看bug在AC还是CB。以此类推。其中printk(“__func__”) 设定printk的级别,八个级别分别是从1--8,其中1基本最高,只打印系统可能崩溃...
内核调试相关变量说明
weixin_34332905的博客
12-27 199
KdInitSystem 函数让内核调试引擎初始化 KiDebugRoutine 当系统分发异常时会调用KiDebugRoutine变量所指向的函数 KiDebugRoutine写入函数地址KdpStub(禁止调试) /KdpTrap(开启调试) KeUpdateRunTime 系统的时间更新函数 KdCheckForDebugB...
ARM7TDMI-S内核的EmbeddedICE逻辑与调试技术
本文主要介绍了嵌入式ICE(Embedded ICE)逻辑,这是一种用于微处理器内核调试的技术,特别是在Oracle大型数据库系统可能运行的AIX/UNIX平台上。ARM7TDMI-S内核是广泛使用的微处理器核心,它集成了一套调试工具,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值