windbg .for命令遍历Win10所有注册的镜像通知回调函数

最新推荐文章于 2023-08-22 10:13:32 发布
最新推荐文章于 2023-08-22 10:13:32 发布
阅读量314 收藏
点赞数
分类专栏: 内核开发 常用Windbg命令 文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/120466106
版权

命令

.for(r $t0=nt!PspLoadImageNotifyRoutine;poi(@$t0)!=0; r $t0=@$t0+8){r $t1=poi(@$t0)&0FFFFFFFFFFFFFFF0h;.printf "pCallback=0x%p pFunc=0x%p\n",@$t1+8,poi(@$t1+8);!address poi(@$t1+8); .echo =======================================}


第一次进来,fffff8075eeb92d4是360flt注册的回调
0: kd> r
rax=0000000000000000 rbx=0000000000000000 rcx=fffff8075eeb92d4
rdx=0000000000000000 rsi=ffff850cd54199d0 rdi=ffff850cd54199d0
rip=fffff80759f81d60 rsp=ffffe00444006728 rbp=0000000000000000
 r8=000000000000082f  r9=000000000000002f r10=fffff80759b26db0
r11=0000000000000000 r12=0000000000000001 r13=ffffffff8000018c
r14=0000000000000000 r15=ffff9988d7dd7b00


ExAllocateCallBack 申请回调地址

0: kd> db ffff9988d7de8990 L200

申请成功后,回调函数写入ffff9988d7de8990+8的位置


回调数组位置:
nt!PspLoadImageNotifyRoutine == fffff8075a4ebee0
0: kd> dps fffff8075a4ebee0
fffff807`5a4ebee0  ffff9988`d7a09fdf
fffff807`5a4ebee8  00000000`00000000
fffff807`5a4ebef0  00000000`00000000
fffff807`5a4ebef8  00000000`00000000
fffff807`5a4ebf00  00000000`00000000
fffff807`5a4ebf08  00000000`00000000
fffff807`5a4ebf10  00000000`00000000
fffff807`5a4ebf18  00000000`00000000
fffff807`5a4ebf20  00000000`00000000
fffff807`5a4ebf28  00000000`00000000
fffff807`5a4ebf30  00000000`00000000
fffff807`5a4ebf38  00000000`00000000
fffff807`5a4ebf40  00000000`00000000
fffff807`5a4ebf48  00000000`00000000
fffff807`5a4ebf50  00000000`00000000
fffff807`5a4ebf58  00000000`00000000

将回调地址 与0FFFFFFFFFFFFFFF0h 运算

windbg .for命令遍历Win10所有注册的通知回调

0: kd> .for(r $t0=nt!PspLoadImageNotifyRoutine;poi(@$t0)!=0; r $t0=@$t0+8){r $t1=poi(@$t0)&0FFFFFFFFFFFFFFF0h;.printf "pCallback=0x%p pFunc=0x%p\n",@$t1+8,poi(@$t1+8);!address poi(@$t1+8); .echo =======================================}
pCallback=0xffff9988d7a09fd8 pFunc=0xfffff8075d563798


Usage:                  Module
Base Address:           fffff807`5d550000
End Address:            fffff807`5d57b000
Region Size:            00000000`0002b000
VA Type:                BootLoaded
Module name:            DsArk64.sys
Module path:            [\SystemRoot\System32\drivers\DsArk64.sys]
=======================================
pCallback=0xffff9988d7de8998 pFunc=0xfffff8075eeb92d4


Usage:                  Module
Base Address:           fffff807`5ee70000
End Address:            fffff807`5ef42000
Region Size:            00000000`000d2000
VA Type:                BootLoaded
Module name:            360FsFlt.sys
Module path:            [\SystemRoot\system32\DRIVERS\360FsFlt.sys]
=======================================
pCallback=0xffff9988d75d99a8 pFunc=0xfffff8075f801a7c


Usage:                  Module
Base Address:           fffff807`5f800000
End Address:            fffff807`5f8d1000
Region Size:            00000000`000d1000
VA Type:                BootLoaded
Module name:            360Hvm64.sys
Module path:            [\SystemRoot\System32\Drivers\360Hvm64.sys]
=======================================
pCallback=0xffff9988d75d9978 pFunc=0xfffff807601beb20


Usage:                  Module
Base Address:           fffff807`601a0000
End Address:            fffff807`601ee000
Region Size:            00000000`0004e000
VA Type:                BootLoaded
Module name:            ahcache.sys
Module path:            [\SystemRoot\system32\DRIVERS\ahcache.sys]
=======================================
pCallback=0xffff9988d75d99d8 pFunc=0xfffff8075fc25a98


Usage:                  Module
Base Address:           fffff807`5fc20000
End Address:            fffff807`5fc75000
Region Size:            00000000`00055000
VA Type:                BootLoaded
Module name:            360qpesv64.sys
Module path:            [\SystemRoot\system32\DRIVERS\360qpesv64.sys]
=======================================
FFE4
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4688
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
windbg windebug 最新版 for win10
03-21
Windbg和WinDebug是微软开发的强大调试工具,主要用于Windows操作系统下的软件调试,它们在系统级调试、内核模式调试以及用户模式调试方面有着广泛的应用。本文将深入介绍这两个工具的最新版,特别是针对Windows 10...
想请问下大神这个蓝屏是怎么原因
V0o54bra的博客
08-22 166
Use!---------16: kd>!analyze -vArguments:
2021-10-10
weixin_45594565的博客
10-10 379
最近,win10总是在睡眠或者休眠启动蓝屏,重新启动后系统运转正常,用蓝屏修复工具检查后,信息如下: Microsoft ® Windows Debugger Version 10.0.22415.1003 AMD64 Copyright © Microsoft Corporation. All rights reserved. Loading Dump File [C:\WINDOWS\MEMORY.DMP] Kernel Bitmap Dump File: Kernel address space is
一个蓝屏的分析-The caller is unlocking a pageable section that is not currently locked.
T76230169的专栏
04-06 1147
同事,给了一个蓝屏文件,说是不知道操作什么了引起了系统蓝屏,使用自定义分析可看到 MEMORY_MANAGEMENT (1a) # Any other values for parameter 1 must be individually examined. Arguments: Arg1: 0000000000001010, The caller is unlocking a pageable section that is not currently locked. (This sectio
真正Win10中可用的windbg10(Debugging Tools for Windows 10)
05-27
目前CSDN下载频道中的微软调试工具WinDbg(即Debugging Tools for Windows)大都不适用于Win10系统,在Windows10中会报错:Could not find the xxx\MEMORY.DMP Dump File,Win32 error On87。这里提供的WinDbg10下载...
Windbg 10.0.18362.1__win10 1903版 (最新版)
09-26
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
windbg win7&win10.zip
05-18
这个名为"windbg win7&win10.zip"的压缩包包含了适用于不同Windows操作系统的Windbg版本,旨在满足用户在不同环境下进行调试的需求。 首先,压缩包中包含的WinDbg_X64_v10.0.18362.1.msi是Windbg的64位版本,适用于...
Windbg 10.0.19041.1 (Windows 10 20H1)
09-23
Windbg 10.0.19041.1 是Windows 10 20H1版本的调试工具,是Microsoft提供的一款强大的调试器,主要用于分析和解决系统及应用程序的错误,它在软件开发、故障排查和系统性能优化方面扮演着重要角色。此版本包含了针对...
windbg 10.0版本 适用于win10
05-15
最新版的windbg 适用于win10,自己安装wdk之后拷贝出来的。
WinDBG --win10
12-19
X64 Debuggers And Tools-x64_en-us.msi
请大神们帮忙分析一下蓝屏
weixin_42172349的博客
03-03 570
WARNING Unable to verify timestamp for Unknown_Module_00000000`00000000 ERROR Module load completed but symbols could not be loaded for Unknown_Module_00000000`00000000
WinDBG循环执行命令
iT2afL0rd's Blog
08-19 2316
WinDBG中循环命令有两种:1. z命令      可以使用z命令来循环执行一个或者多个命令。z命令的格式是:z(),括号中为条件表达式,当该表达式值为0时,就停止执行命令。z命令循环执行它前面的命令,然后测试自己的条件。循环结束之后再去执行后面的命令。当只有一条z命令的时候,它只是测试自己的条件,但是没有其他任何有意义的操作,进入了死循环。      下面给出一个简单的例子:|
Windows动态沙箱实现--进程回调监控
wangmin1944的专栏
06-19 294
下面是我们的回调代码实现,核心功能是获取当前创建的进程PID、全路径、命令行、父进程PID、父进程全路径信息。需要注意的是,这里获取的父进程信息有可能是假的,最常见的就是启动服务、shellcode注入启动或者借助UpdateProcThreadAttribute伪造父进程启动。这类的伪装,我们需要在后续的InfinityHook里实现发现并进行关联标注。前面讨论了沙箱的目标,今天开始落实代码实现,从功能实现的先后顺序上,我们优先实现4个回调:进程回调、镜像回调、线程回调、注册表回调,今天实现进程回调。
windows driver response Power Event
lixiangminghate的专栏
06-06 542
#S5->S0 Waiting to reconnect... USB2: Write opened Connected to Windows 7 19041 x64 target at (Sun Jun 6 13:33:03.551 2021 (UTC + 8:00)), ptr64 TRUE Kernel Debugger connection established. (Initial Breakpoint requested) Symbol search path is: srv*C:\S..
驱动开发:内核枚举DpcTimer定时器
热门推荐
CSDN
10-16 1万+
在笔者上一篇文章`《驱动开发:内核枚举IoTimer定时器》`中我们通过`IoInitializeTimer`这个API函数为跳板,向下扫描特征码获取到了`IopTimerQueueHead`也就是IO定时器的队列头,本章学习的枚举DPC定时器依然使用特征码扫描,唯一不同的是在新版系统中DPC是被异或加密的,想要找到正确的地址,只是需要在找到DPC表头时进行解密操作即可。
debugging_windbg.pdf
最新发布
10-10
debugging_windbg.pdf是一本关于使用Windbg进行调试的文档。Windbg是Windows平台上一款强大的调试工具,可用于应用程序、驱动程序等软件的调试。这本文档介绍了在使用Windbg进行调试时的各种技术和方法。 首先,文档中会介绍Windbg的基本功能和使用方法。它会详细讲解如何安装和配置Windbg,以及如何通过Windbg来加载和调试一个应用程序或驱动程序。文档中还会介绍Windbg的基本命令和调试器的功能,让读者能够熟悉并掌握Windbg的使用。 其次,文档中会讲解一些高级的调试技术和方法。例如,如何使用Windbg进行内核级别的调试,以及如何利用Windbg来分析应用程序的崩溃和错误。文档中还会介绍如何使用Windbg来进行性能分析和内存分析,以便帮助开发人员找出应用程序中的性能瓶颈和内存泄漏等问题。 此外,文档还会介绍一些常见的调试场景和问题。例如,如何在Windbg中进行断点调试、单步执行和数据查看等操作。文档中还会讲解如何利用Windbg进行远程调试,以及如何在多线程和多进程的情况下使用Windbg进行调试。 总的来说,debugging_windbg.pdf这本文档是一本非常实用和全面的关于Windbg调试工具的指南。读者通过学习这本文档,将能够掌握Windbg的使用方法和调试技术,从而更加高效和准确地进行软件调试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值