Windows内核--DbgPrint/KdPrint Kernel log(3.1)

已于 2022-11-08 10:42:07 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: 小话Windows内核 文章标签: kernel windows windows kernel
于 2022-11-05 22:54:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxsjabcabc/article/details/127709724
版权

Kernel和Driver可以通过DbgPrint或DbgPrintEx打log.

KdPrint和KdPrintEx也是可行的,不过用法有差异。

MSDN: KdPrint is identical to the DbgPrint routine in code that is compiled for a debug configuration. This routine has no effect if compiled for a release configuration. Only kernel-mode drivers can call the KdPrint routine.

DbgPrint输出log

  Windows内核并不会把Kernel log用UART输出,而是通过系统服务(int 2dh)的方式输出。

DbgPrint --> vDbgPrintExWithPrefixInternal 
               --> DebugPrint
                 --> DebugService

 注意,此处Service参数传入BREAKPOINT_PRINT, 表示输出log.

    int 2dh 进入_KiDebugService例程.

        

 之后在汇编代码里面周转了很久,最终根据BREAKPOINT_PRINT决定输出log.

DbgPrint的实现确实不走寻常路!

DbgView工具查看Kernel log

        DebugView - Windows Sysinternals | Microsoft Learn

        按官方的说法,DbgView不仅可以抓Userspace log, 也可以抓Kernel log.

        

DbgView抓Kernel log原理

  •  Load Dbgv.sys Driver
  • Dbgv.sys hook DebugPrint函数,截获字符串
程序员小迷
关注
专栏目录
博客
Https 加密原理
09-01 1195
1)CA 证书中的 数字签名Hash值,就是用证书的私钥进行加密后的值(证书的私钥不在 CA 证书中,证书的公钥在CA证书中)。加密用的密钥和解密用的密钥是同一个,比较有代表性的是 DES和AES 加密算法。
博客
Http/Https 请求慢的解决办法
08-25 700
2.HTTP2.0多路复用通过多个请求 共享一个 TCP 连接的方式,解决了HTTP request层面的 队头阻塞(HOL blocking ,即Head of Line blocking)的问题,即解决了HTTP 1.x中的队头阻塞问题,但TCP层面的队头阻塞问题(由于丢失或延迟的数据包导致重传阻塞)并未解决,基于QUIC(Quick UDP Internet Connections)的HTTP/3基本可以解决队头阻塞问题。和传统的 tcp socket 相似,基于 tcp 协议,提供双向的数据通道。
博客
谈iphone电话短信增强工具kuaidail软件的实现
07-25 2260
首先声明,本人不是kuaidail软件的实现作者,是在做相关的项目过程中,想到了也实现了类似的功能,kuaidail软件本身并没有公布相关实现细节,所以在此分享一下。在这里,可以了解kuaidail软件的一些安装效果:http://bbs.app43.com/thread-15553-1-1.html一、总述 kuaidail运行于越狱平台的ios系统上,与其说它是一
博客
printf内幕----编程内幕(1)
06-30 2232
printf内部究竟做了什么?
博客
ios CCAudio.mm
06-10 1761
微风不燥,阳光正好,你就像风一样经过这里,愿你停留的片刻温暖舒心。助您在编程路上越走越好!
博客
c++ 大整数类CCBigInteger 加减法功能的实现
06-04 3088
微风不燥,阳光正好,你就像风一样经过这里,愿你停留的片刻温暖舒心。助您在编程路上越走越好!
博客
软件行业理论太多 实践太少
05-27 2091
一、中心思想 本文将从理论和实践的角度分析在软件行业理论与实践的差距,将着重表达提高实践在整个软件行业的作用和意义;但是,本文不会刻意贬低理论的价值,理论同样非常重要。二、软件行业理论密切依赖于实践 软件行业理论和实践似乎比其它行业更加密切,原因就在于使用它的实在太多了,不论国防、科技、教育、互联网以及日常生活。所以,分析软件行业理论和实践可以举的例子特别多。也
博客
做产品,请不要忽视技术的重要
05-21 6586
其实,它和金钱的关系是一样的,金钱不是万能的,但是没有金钱是万万不能的。技术在软件行业所处的位置比较高这是毋庸置疑的,当然,这并没有说创意、产品、市场地位不高,应该说,它们有时有的所处的地位较低,有时所处的地位偏高,甚至很高。其实,对开发的要求还是挺高的,各种辩证思维都集中在一起,敢于坚持该坚持的,敢于放弃自己错误的想法而学习别人好的建议,能够很好地对于完美和不完美做正确判断,这是每个开发都要学会的辩证思维。其实,这里,一切其实不是以开发为核心,但是却必须依赖开发的技术,前面是个可能的,后面是个必须的。
博客
JVM内存参数调优大展神威
04-29 610
例如,若-XX:SurvivorRatio=8,则一个Survivor区域的大小将是Eden区域大小的1/8。例如,若 -XX:NewRatio=3,则新生代占整个堆的1/4,老年代占3/4。直接内存不是java虚拟机规范中定义的内存区域。
博客
MinGW与Cygwin傻傻分不清楚
04-15 1524
Cygwin 提供完整的类Unix 环境,是一个在Windows平台上运行的类UNIX模拟环境,它提供了一个UNIX模拟DLL以及在其上层构建的多种可以在Linux系统中找到的软件包。其主要目标是模拟UNIX/Linux环境,使得开发者可以在Windows上进行与UNIX/Linux相似的开发工作,或者将UNIX/Linux下的应用程序移植到Windows上。MinGW 环境下编译出来的程序,只能在Windows下跑,源码在linux环境下编译多半通不过,因为使用到了Windows下的API。
博客
Java泛型中 T 和 ? 傻傻分不清楚
04-11 1536
而 T 表示了集合[所有Java类型,包括String,Integer,Character等系统定义的,或者用户定义的类型]中的一个成员。由于容器的具体类型未知,如果往容器添加元素,无法确保添加进去的具体数据是该容器具体类型的子类还是父类,因此存在类型不安全问题,所以是不允许往容器里添加数据的。使用T时,Java的类型参数支持多重限定,如
博客
Windows内核--GUI显示原理(6.1)
01-02 1616
图形子系统内核部分win32k.sys 通过DDI接口操作显示驱动, 显示驱动通过ENG接口调用win32k.sys. Vista开始增加DWM进程,DWM(Desktop Window Manager)和以往的绘制最大的差异是屏幕绘制不再是各个App单独决定的,而是在后台视频存储区绘制之后再渲染。Aero效果、立体和翻转效果等都得益于DWM.
博客
Windows内核--驱动程序和内核(1.6)
12-25 1665
内核态驱动程序一般是和内核共同属于内核空间,驱动程序有能力访问内核大部分数据结构。内核根据需要,调用驱动程序执行相应的IO操作,如果驱动程序有异常,可以认为内核不稳定。一般情况下发生故障处理,典型的就是崩溃(dump)并重启, Windows的典型行为是蓝屏。
博客
Windows内核--子系统(3.5)
12-04 2582
子系统是用户层概念。在Windows内核之上,如果想要执行类UNIX应用程序,就是POSIX子系统,如果要类似OS/2环境,就是OS/2子系统。 如何能模拟出不同子系统呢? 一般需要子系统用户态应用程序和相关DLL支援。
博客
Windows内核--源代码在哪里?(1.1)
11-02 2665
利用WinDbg调试Kernel, 可以得到内核数据结构,参照WRK源代码和深入解析Windows操作系统可以猜测到内核源码的可能长相,结合IDA等反编译工具和Windbg可以获取内核全貌。微软官方并不完全公开源代码, 想清楚Windows技术内幕,就需要逆向工具。大部分人能看到这篇帖子, 想必已经用过Windows系统多年了...
博客
windows平台的多线程同步互斥:从内核源码分析----小话多线程(3)
08-16 4743
作者:陈曦 日期:2012-8-16 13:05:34环境:[win7 32位操作系统  Intel i3 支持64位指令   VS2010;   wrk-v1.2 ;   Source Insight]  转载请注明出处Q1: 举个windows平台简单的线程例子吧。A: 如下,保存为thread_test.c:#include #inclu
博客
线程问题的核心: 怎么退出线程才是合适的----小话多线程(2)
08-05 1万+
作者:陈曦 日期:2012-8-5  16:13:36环境:[Mac 10.7.1 Lion Intel i3 支持64位指令 gcc4.2.1 xcode4.2 苹果开源代码Libc-763.11] 转载请注明出处每日总结:优秀的架构都是类似的,垃圾的架构一般都是一个原因:代码内部原理掌握得不够Q1: main函数中最后用return 0; 和使用 exit(
博客
写脚本不熟练的程序员不是好程序员----小话python(1)
06-30 3万+
作者:陈曦日期:2012-6-30 11:18:06 环境:[Mac 10.7.1 Lion Intel-based i3,支持64位指令  Python 2.7.1  gcc4.2.1] 转载请注明出处Q1: 脚本的本质是什么?A: 它就是一段代码,只不过让对应的解释器执行即可;和它相对应的是编译型代码,需要编译成可执行文件或者目标文件,在指定平台上运行或者使用。
博客
词法分析,让状态机旋转地更猛烈些吧----小话c语言(21)
06-16 7767
作者:陈曦日期:2012-6-16 10:21:31 环境:[Mac 10.7.1 Lion Intel-based x64 gcc4.2.1 xcode4.2] 转载请注明出处Q: 对于编译过程的词法分析,到底应该使用什么方式?A: 可以肯定的是,必然要对需要处理的数据挨个字符判断,然后在恰当的位置截断,得到一个个的token.Q: 为什么得挨个字符都判断
博客
要理解解释器,做一个小解释器----小话c语言(20)
06-12 8462
作者:陈曦日期:2012-6-12   11:31:12环境:[Mac 10.7.1  Lion  Intel-based  x64  gcc4.2.1  xcode4.2]  转载请注明出处Q: 解释器来源于什么?A: 如果说是广义的解释器,那么可以把它理解成翻译器,只要能将一种被看成原始的东西翻译成需要的东西,处理的东西就可以被称为解释器。从编程语言角度,解释器更多
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值