windbg可以查看GDT表

最新推荐文章于 2022-10-08 20:58:57 发布
最新推荐文章于 2022-10-08 20:58:57 发布
阅读量3.7k 收藏 3
点赞数 2
分类专栏: windbg命令收集 文章标签: dg指令 windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslife/article/details/48785683
版权

命令: dg
功能: 显示指定的段描述符信息
示例:
显示一个
0:003> dg 0x18
P Si Gr Pr Lo
Sel Base Limit Type l ze an es ng Flags

0018 00000000 ffffffff Code RE Ac 3 Bg Pg P Nl 00000cfb

显示指定范围8到0x40
0:000> dg 8 0x40
P Si Gr Pr Lo
Sel Base Limit Type l ze an es ng Flags

0008 00000000 ffffffff Code RE Ac 0 Bg Pg P Nl 00000c9b
0010 00000000 ffffffff Data RW Ac 0 Bg Pg P Nl 00000c93
0018 00000000 ffffffff Code RE Ac 3 Bg Pg P Nl 00000cfb
0020 00000000 ffffffff Data RW Ac 3 Bg Pg P Nl 00000cf3
0028 80042000 000020ab TSS32 Busy 0 Nb By P Nl 0000008b
0030 ffdff000 00001fff Data RW Ac 0 Bg Pg P Nl 00000c93
0038 7ffdf000 00000fff Data RW Ac 3 Bg By P Nl 000004f3
0040 00000400 0000ffff Data RW 3 Nb By P Nl 000000f2

说明:

Iddecimalhex
KGDT_NULL00x00
KGDT_R0_CODE80x08
KGDT_R0_DATA160x10
KGDT_R3_CODE240x18
KGDT_R3_DATA320x20
KGDT_TSS400x28
KGDT_R0_PCR480x30
KGDT_R3_TEB560x38
KGDT_VDM_TILE640x40
KGDT_LDT720x48
KGDT_DF_TSS800x50
KGDT_NMI_TSS880x58

另外一种查看方式:
lkd> !pcr
KPCR for Processor 0 at ffdff000:
Major 1 Minor 1
NtTib.ExceptionList: acb74c7c
NtTib.StackBase: acb74df0
NtTib.StackLimit: acb71000
NtTib.SubSystemTib: 00000000
NtTib.Version: 00000000
NtTib.UserPointer: 00000000
NtTib.SelfTib: 7ffde000

         SelfPcr: ffdff000
            Prcb: ffdff120
            Irql: 00000000
             IRR: 00000000
             IDR: ffffffff
   InterruptMode: 00000000
             IDT: 8003f400
             GDT: 8003f000
             TSS: 80042000

   CurrentThread: 8946b630
      NextThread: 00000000
      IdleThread: 80551d20

       DpcQueue:

lkd> dd 8003f000
8003f000 00000000 00000000 0000ffff 00cf9b00
8003f010 0000ffff 00cf9300 0000ffff 00cffb00
8003f020 0000ffff 00cff300 200020ab 80008b04
8003f030 f0000001 ffc093df e0000fff 7f40f3fd
8003f040 0400ffff 0000f200 00000000 00000000
8003f050 95000068 80008954 95680068 80008954
8003f060 2f30ffff 00009302 80003fff 0000920b
8003f070 700003ff ff0092ff 0000ffff 80009a40

cosmoslife
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全局描述符GDT
陈东的博客
08-17 3078
GDT和段描述符
winxp环境下,用windbg查看GDT、IDT、TSS描述符
mengzhongfeixueyi的博客
09-19 5360
转载请注明出处:http://blog.csdn.net/mengzhongfeixueyi/article/details/78033244 一开始什么都不会,不知道如何下手,看ppt上面有个kd>,都不知道kd怎么出来的,自己打开windbg照着网上的选择attach to ……,随便找了个进程打开也不是kd开头的。网上搜索了一圈,才觉得查看GDT、IDT、TSS这些应该是属于内核调
windbg查看GDT的基址和长度 段描述符查分实验 段选择子拆分实验
日志
09-28 1080
1.在windbg查看GDT的基址和长度 2.分别使用dd dq指令查看GDT 3.段描述符查分实验 拆5个 4.段选择子拆分实验 追加练习 使用LES,LDS等指令修改段寄存器
Windows保护模式(一)段寄存器&GDT
sky123博客
10-08 2283
段式内存管理是将内存划分成若干段,处理器在访问一个内存单元时通过“段基址+偏移”的方式计算出实际的物理地址。 在Intel x86处理器中,有专门的段寄存器,指定每条指令在访问内存时指定在哪个段上进行,以及该段的长度,读写属性,特权级别等。段式内存管理与页式内存管理关系如下图。 Windows采用了页式内存管理方案,在Intel x86处理器上,Windows不使用段来管理虚拟内存,但是,Intel x86处理器在访问内存时必须要通过段描述符,这意味着Windows将所有的段描述符都构造成了从基地址0开始
[转]windows程序员进阶系列:《软件调试》之O--- WinDbg使用介
comhaqs的专栏
03-06 1133
原帖地址:http://blog.csdn.net/ithzhang/article/details/8630429                         windows程序员进阶系列:《软件调试》之O--- WinDbg使用介绍      拥有一个顺手的武器是每一个武林高手梦寐以求的。对于windows程序员来说,WinDbg调试器就是我们的武器。熟练使用调试器能大大提高我们的
2.CPU基础
weixin_30307267的博客
01-31 89
2.4.2 标志寄存器 DF(Direction flag) 方向标志,为1时使用字符串指令每次操作后递减变址寄存器(ESI和EDI),为0时递增. CF位可以由STC和CLC指令来设置和清除,DF位可由STD和CLD指令来设置和清除(ST:set,CL: clear) 随意写段代码测试: __asm { pushad int 3 CLC ...
windbg常用命令
11-19
((_KGDTENTRY *)0x8003f000)[3].HighWord.Bits` 将显示GDT(全局描述符)条目3的HighWord.Bits字段的信息。 ```cmd ?? ((_KGDTENTRY *)0x8003f000)[3].HighWord.Bits ``` 4. **!dh (Dump Headers)** `!dh`...
内核:内存管理1
08-03
内存管理是操作系统的核心功能之一,它负责有效地分配、管理和回收计算机的内存资源。在本文中,我们将探讨分页内存和非分页...在开发过程中,可以使用调试工具如Windbg来检查和分析内存使用情况,以便调试和优化代码。
gatesXgame .pdf
09-05
在保护模式下,段选择子包含权限标志(RPL)、类型指示器(TI)和索引值,这些信息可以指向全局描述符GDT)中的相应项,从而确定如何切换到不同的地址空间。在本例中,0x33对应的GDT项允许进行64位模式的切换。...
WinRing0_1_3_0
11-10
1. **硬件访问**:允许用户直接与系统硬件交互,如CPU寄存器、PCI设备、中断描述符(IDT)、全局描述符GDT)等,这在编写驱动程序或调试硬件故障时非常有用。 2. **内存操作**:提供了对物理内存和虚拟内存的...
《rootkit windows内核安全防护》源代码
04-20
2. **Windows内核理解**:学习如何与Windows内核交互,如系统调用、中断描述符(IDT)和全局描述符GDT)的使用,以及内核对象管理等。 3. **Rootkit检测技术**:源代码可能包括各种rootkit检测方法,如异常...
windbg命令索引
qq_31932681的博客
01-07 243
分类 命令描述示例($$后为注释) 帮助 ? 显示所有标准命令? .help显示所有元命令.help .help /D      $$ 显示带有DML导航链接的帮助 .help /D r* .hh打开帮助文件.hh .reload !help显示扩展命令eg1:    !ext.helpeg2:    !help d...
WinDbg命令
qq_36308972的博客
07-17 751
段、页 WinDbg可以使用r命令来观察GDTR和IDTR GDTR、IDTR:用来标识GDT和IDT的位置和边界 使用dg n 命令(n为数字)可以查看段选择子的对应的描述符信息 线程 使用 ~ 可以列出线程的基本信息 调试 *x a.exe! : 列出a.exe的所有符号 ...
windbg命令集合
swartz_lubel的专栏
03-11 1001
调试会话 .create :创建新的进程并调试 例子 .create notepad.exe .attach:附加到指定进程         例子 .attach 2568 .restart:让调试目标重新运行 例子 .restart 或者.restart /f .crash:强制目标系统崩溃(内核态) 例子 .crash .reboot:重启目标系统(内核态) 例子 .reboot
Windows进程与线程学习笔记(三)—— KPCR
qq_41988448的博客
11-12 1193
Windows进程与线程学习笔记(三)—— KPCR前言KPCR+0x000 NtTib : _NT_TIB+0x120 PrcbData : _KPRCB 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! KPCR 描述:CPU控制区(Processor Control Region) 当线程进入...
GDI泄露检测
wqsailor12的专栏
04-20 6021
方法一: 1、打开电脑的“任务管理器”; 2、选择“进程”页; 3、点击菜单项的“查看”项,选择“选择列”; 4、对“GDI对象(J)”打上对号,即可。 此时,用户就可以在进程中看到每个进程对应的GDI对象,每个进程的GDI对象(网页浏览器除外,每打开一个网页GDI对象都会增加)基本上是一定的,如果不断上涨,则说明程序存在GDI泄露问题。   方法二:使用检测工具GDIndicato
保护模式下的段寄存器值转化为线性地址过程
行者无疆的专栏
07-23 3828
关键字: 段寄存器、段选择子、全局描述符、局部描述符、段描述符、线性地址;     保护模式下使用段机制的CS,SS,DS,ESt,FS,GS保存的并不是实模式下的段地址,而是一个包含了段选择子和偏移地址的组合值。CPU在读取内存的时候,需要将段寄存器的值解析成为段地址,才能定位找到相应的段。下面我们一步一步解析这个过程。     知识点:     段寄存器值=段选择子
WinDBG加载符号的一点心得体会
weixin_34166472的博客
12-24 1419
新建一个环境变量_NT_SYMBOL_PATH 值为: SRV*c:\mysymbol* http://msdl.microsoft.com/download/symbols WinDBG无法加载符号是很痛苦的事情,明明符号的路径已经加载进去了,可是还是无法加断点,下面直接进入主题: 符号无法加载,无法触发断点。 1、检查sympath是否正确 ...
windbg 下载符号
最新发布
06-26
### 回答1: Windbg 是一种在 Windows 操作系统下进行调试的工具,可以帮助开发人员识别并解决程序中的错误。由于 Windows 使用符号(Symbol tables)来存储可执行文件和模块文件中的符号名称和地址信息,所以为了更准确地调试程序,我们需要下载符号Windbg 自带了一个命令行程序名为 SymChk,它可以搜索符号服务器以获取可执行文件和程序库的符号。下面是下载符号的步骤: 1. 打开 Windbg。 2. 在 Windbg 中打开需要调试的程序。此时,Windbg 可能会提示无法加载符号文件。 3. 在 Windbg 的命令行界面中,输入以下命令: .sympath SRV*c:\symbols*http://msdl.microsoft.com/download/symbols 其中,c:\symbols 是本地符号目录,通常情况下是新建一个空文件夹作为符号目录;http://msdl.microsoft.com/download/symbols 是微软的符号服务器地址。 4. 输入以下命令以开始下载符号: .symfix c:\symbols 这个命令是告诉 Windbg 将符号文件存储到指定的符号目录。 5. 最后,在 Windbg 的命令行中输入命令: .reload /f 这个命令告诉 Windbg 重新加载程序和所有的符号文件。 完成上述步骤之后,Windbg 就可以正确地显示程序的符号信息了。需要注意的是,如果程序使用的是自定义的符号文件而不是 Microsoft 的符号文件,则需要将符号文件添加到符号路径中。 ### 回答2: Windbg是Microsoft Windows操作系统上一种强大的调试工具,能够帮助开发者/程序员追踪和解决程序在运行时出现的各种问题。在进行Windbg调试的过程中,符号显得尤为重要。符号是一种包含源代码、二进制代码和调试信息的文件,它可以帮助调试器将二进制代码映射到源代码的行数和函数名上。 在Windbg中下载符号有以下几个步骤: 第一步:打开Windbg,按"F12"键打开"命令"窗口。 第二步:在"命令"窗口中输入下列命令之一,以下载目标文件的符号: - .symfix c:\symbols:将符号下载到c盘上的symbols文件夹中。 - .sympath+ C:\path_to_your_symbols:在已有的符号路径中添加一个路径。 - .symproxy (proxy server):(port):在符号路径前面添加代理。 第三步:输入"!sym noisy"命令可以打开符号下载的详细输出,并且确认符号下载正在进行。 第四步:下载完成后,在Windbg的左部窗口"Modules"中选择想要观察的模块,右键点击该模块,在弹出的菜单中选择"Symbol Load Information",即可查看符号加载的情况。 通过以上步骤,我们可以轻松下载到符号,并且在调试程序时得到更准确和详细的调试信息,从而更好地定位和解决程序的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值