利用windbg的插件pykd以虚拟地址导出虚拟机的整个内存

最新推荐文章于 2023-06-08 14:45:40 发布
最新推荐文章于 2023-06-08 14:45:40 发布
阅读量790 收藏
点赞数
分类专栏: study
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ambihan/article/details/35775933
版权 
import sys
from pykd import *
import string
import os

pagesize = 0x1000   #32位进程页大小为4KB
looptime = 0x100000000 / 0x1000

def getmem():
#    for i in 262144
    temp_filepath = "F:\Temp_memory"    #保存当前页
    whole_filepath = "F:\win7_whole_memory"
    zero_filepath = "F:\zero_memory"    #4KB的0,当前页不存在时用0填充
    whole_file = open(whole_filepath,'wb+')
    zero_file = open(zero_filepath, 'rb')
    zero_file_read = zero_file.read()
    
    for i in range(looptime):
        commandstr_dd = "dd " + hex(i * pagesize)[0:10] + " " + hex(i * pagesize + 1)[0:10]
#        print commandstr_dd
        result = dbgCommand(commandstr_dd)  #执行命令,如 dd FFDFF000
        if(result[10:11] == '?'):           #命令输出? 表示当前页不存在
            whole_file.write(zero_file_read)    
        else:       
            commandstr = ".writemem " + temp_filepath + " " + hex(i * pagesize)[0:10] + " " + hex((i+1) * pagesize-1)[0:10]
#            print commandstr
            dbgCommand(commandstr)          #执行命令,如 .writemem F:\Temp_memory 00000000 00001000
            temp_file = open(temp_filepath,'rb')
            temp_file_read = temp_file.read()   
#            print os.path.getsize(temp_filepath)            
            whole_file.write(temp_file_read)
            temp_file.close()

    whole_file.close()        

def run():

    if not isWindbgExt():
        if not loadDump( sys.argv[1] ):
             dprintln( sys.argv[1] + " - load failed" )
             return

    if not isKernelDebugging():
        dprintln( "not a kernel debugging" )
        return   
                 
    getmem()

if __name__ == "__main__":
    run()




                

        

        

    




    

      

        

            

              
                
                  ambihan
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
适用于 Windows 10 版本 2004 WDK中windbg调试插件

				
			

			

				

					09-24
				

			

		

		

			
				
适用于 Windows 10 版本 2004 WDK中windbg调试插件,支持vs2019,微软官方原版下载WDK中提取

			
		

	



                

              
                



	

		

			

				
					
Pykd——Python extension for WinDbg

				
			

			

				

					Hansel的专栏
				

				

					07-20
					
					2862
					
				

			

		

		

			
				



本文转载于: http://blog.csdn.net/n1ghtSir/article/details/48636163
 
在使用windbg脚本的时候,感觉很不方便。有时候想根据断点触发时的栈信息判断是否需要继续,但是没法定义变量来获取那些值,即便使用$tn和$un之类的伪变量获取那些值也很难进行复杂的判断或者运算。所以还是需要有更灵活的语言来辅助,所以找到了Pykd,虽

			
		

	



                


  
              

                


	

		

			

				
					
pykd使用

				
			

			

				

					weixin_34392906的博客
				

				

					06-29
					
					912
					
				

			

		

		

			
				
1.加载
.load pykd
!pycmd
!py XXXX.py

2.打印
.dprintln
.dprint格式<b></b><i></i><u></u>dprintln("<link cmd=\".reload /f\">reload</link>", True)

3....

			
		

	





	

		

			

				
					
windbg人造结构体插件使用方法

				
			

			

				

					如鹿渴慕泉水的专栏
				

				

					06-08
					
					186
					
				

			

		

		

			
				
windbg人造结构体插件使用方法

			
		

	



		

			
		



	

		

			

				
					
Windbg插件 pykd

				
			

			

				

					11-07
				

			

		

		

			
				
python pykd

			
		

	





	

		

			

				
					
windbg找到一个虚拟地址的物理地址.doc

				
			

			

				

					07-31
				

			

		

		

			
				
windbg 找到虚拟地址的物理地址  windbg 是一个强大的调试工具,能够帮助开发者和调试者找到虚拟地址的物理地址。本文将通过两个实验,展示如何使用 windbg 在 32 位两层页表和 PAE 模式下找到虚拟地址的物理地址,...

			
		

	





	

		

			

				
					
windbg命令高亮显示插件

				
			

			

				

					12-07
				

			

		

		

			
				
这款"Windbg命令高亮显示插件"是为了提升用户在使用Windbg时的体验,通过高亮显示命令,使得调试过程更加直观和高效。下面我们将深入探讨这款插件的功能、使用方法以及与Windbg的结合。  首先,高亮显示是编程和调试...

			
		

	





	

		

			

				
					
适用于 Windows 10 版本 1809 WDK中windbg调试插件

				
			

			

				

					09-02
				

			

		

		

			
				
5. **性能分析**:利用插件来监控CPU和内存使用情况,识别性能瓶颈。 6. **扩展命令**:许多插件提供自定义命令,方便进行特定的调试操作。  在安装和使用这些插件时,需要注意以下几点:  - 确保系统已安装了 ...

			
		

	





	

		

			

				
					
windbglib&pykd&mona&windbg&immunity dbg.rar

				
			

			

				

					12-02
				

			

		

		

			
				
PyKD是另一个与Windbg紧密相关的工具,它是一个Python扩展模块,允许用户使用Python语言来编写Windbg插件PyKD提供了丰富的API,使得调试过程中的数据访问和控制变得更加灵活。例如,用户可以使用PyKD来读取内存、...

			
		

	





	

		

			

				
					
pykd-0.3.3.3-cp27-win32.zip

				
			

			

				

					04-18
				

			

		

		

			
				
windbg使用python来控制脚本,进行调试,非常好用,直接安装

			
		

	





	

		

			

				
					
windbg高亮插件&代码

				
			

			

				

					06-17
				

			

		

		

			
				
windbg高亮插件&代码,详细的工程代码

			
		

	





	

		

			

				
					
Windows 11 版本  WDK中windbg调试插件

				
			

			

				

					07-22
				

			

		

		

			
				
适用于 Windows 11 版本  WDK中windbg调试插件,支持vs2019,微软官方原版下载WDK中提取

			
		

	





	

		

			

				
					
WinDBG用法详解及其插件编写方法

				
			

			

				

					04-16
				

			

		

		

			
				
WinDBG用法详解及其插件编写方法
WinDBG用法详解及其插件编写方法
WinDBG用法详解及其插件编写方法

			
		

	





	

		

			

				
					
pykd执行出错??windbgpykd正确安装过程

				
			

			

				

					dapeng1994的博客
				

				

					10-15
					
					1310
					
				

			

		

		

			
				
windbgpykd安装过程windbgpykd
windbg
从微软官网下载windows sdk setup安装,选择框只选择Debugging …,只安装windbg,不要从win7上的windbg打包放在windows 10上用,虽然平时可以用,没有问题,但是以后用pykd时可能会出问题,安装windbg最靠谱的方法是从官网下载winsdksetu.exe安装!!!
pykdpykd...

			
		

	





	

		

			

				
					
如何在Windbg中安装mona

				
			

			

				

					 唐风的风
				

				

					11-18
					
					4999
					
				

			

		

		

			
				
如何在Windbg中安装mona
01 问题描述

在Windows的Windbg中安装Mona
环境要求

检查是否安装了Windbg
检查是否安装Python2.x
1.Mona.py—放入Windbg.exe文件夹下
2.pykd.pyd—WinDbg的Python插件
3.windbglib.py—放入Windbg.exe文件夹下




02 解决步骤
2.1 安装和检查Python2.x环境并确保安装了Windbg

没装的安装好相关版本的python

Win+R  输入cmd,输入pytho

			
		

	





	

		

			

				
					
C++-源代码调试-Visual Studio-X64dbg-WinDbg-插件开发

				
			

			

				

					插件开发
				

				

					11-09
					
					512
					
				

			

		

		

			
				
如果宿主软件,存在反调试技术,我们开发插件的第一步就是干掉反调试,但这往往是一个复杂的工程,具体的技术可以查看相关教程,这样就需要一个强大的反汇编工具,比如X64dbg,同样可以先启动目标软件,然后可以在指定模块下断点,查看程序运行情况,使用X64dbg的读者,需要具备一定的逆向分析能力,如汇编代码阅读能力。看到此文的很多读者,可能会疑问,都有源代码,还要介绍怎么调试,这是为何,这主要是很多时候系统运行的复杂性,有可能我们只有部分代码,或者传统的调试器无法使用(反调试技术的存在)。

			
		

	





	

		

			

				
					
python debugger extension_Pykd——Python extension for WinDbg

				
			

			

				

					weixin_34183908的博客
				

				

					02-02
					
					487
					
				

			

		

		

			
				
在使用windbg脚本的时候,感觉很不方便。有时候想根据断点触发时的栈信息判断是否需要继续,但是没法定义变量来获取那些值,即便使用$tn和$un之类的伪变量获取那些值也很难进行复杂的判断或者运算。所以还是需要有更灵活的语言来辅助,所以找到了Pykd,虽然Immunity可以取代它,但有时不得不用windbg,接下来就让我们来学习下这个插件。一、安装从官网(https://pykd.codeplex...

			
		

	





	

		

			

				
					
WinDBG插件编写介绍及在Nano Code中加载扩展

				
			

			

				

					birdring_0xx0的博客
				

				

					08-09
					
					529
					
				

			

		

		

			
				
穷理者,因其所已知而及其所未知,因其所已达而及其所未达。人之良知,本所固有。然不能穷理者,只是足于已知已达,而不能穷其未知未达,故见得一截,又不曾见得一截,此其所以于理未精也。然仍须功夫日日增加。今日既格得一物,明日又格得一物,工夫更不住地做。如左脚进得一步,右脚又进一步;右脚进得一步,左脚又进,接续不已,自然贯通。

借钟馗与GDK7之合力捉”鬼“,保佑代码平安顺利、风调雨顺,再无”鬼怪出现“。





Nano Code与WinDBG

 最近在使用GDK...

			
		

	





	

		

			

				
					
windbg+虚拟机

					
最新发布

				
			

			

				

					11-13
				

			

		

		

			
				
在使用Windbg调试Windows操作系统时,需要使用虚拟机来模拟一个独立的操作系统环境。以下是使用Windbg虚拟机进行调试的步骤:  1. 下载并安装Windbg和Windows Driver Kit(WDK)。 2. 在虚拟机中设置与Windbg连接...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值