windbg双机调试时对R3函数下断

最新推荐文章于 2020-07-13 10:12:31 发布
最新推荐文章于 2020-07-13 10:12:31 发布
阅读量4.7k 收藏 2
点赞数 4
分类专栏: 驱动内核 文章标签: user 汇编 image c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/evi10r/article/details/6950398
版权
在使用Windbg进行双机调试时,尝试对用户态函数下断点可能会遇到无法解析表达式的错误。解决这个问题需要先切换到用户环境。通过执行`!process 0 0 explorer.exe`找到目标进程,然后使用`.process /p /r <进程地址>`命令切换进程上下文并强制解码用户模块。加载用户符号后,才能正确设置和查看用户态函数的断点。
摘要由CSDN通过智能技术生成

对于刚接触windbg的童鞋可能想在双机调试的环境下查看某个用户态函数的反汇编,可能会直接下直接断点,这是会产生如下提示的错误 
Bp expression ‘*******’ could not be resolvedadding deferred bp
这是因为没有切换到用户环境。
可依次执行如下命令
kd> !process 0 0 explorer.exe
PROCESS 81fff020  SessionId: 0  Cid: 0600    Peb: 7ffde000  ParentCid: 05f0
    DirBase: 048401c0  ObjectTable: e19d5188  HandleCount: 371.
    Image: explorer.exe

.process /p /r 81fff020
Implicit process is now 81fff020
.cache forcedecode

最低0.47元/天 解锁文章
W1nds
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
windbg双机调试命令使用
mofabang的专栏
11-11 712
F5或在命令输入g,运行。 F9在代码光标所在行下断点。 bl列出所有断点 bc *删除所有断点 bc 0 删除0号断点0n(十进制) 0x(十六进制) 0t(8进制) 0y(2进制) 可以使用n [8|10|16]命令来修改数值进制表示方式(输入n可查看当前进制,默认为16进制)dt - dump symbolic type information. dt [[-ny] [!
Windbg 内核态调试用户态程序然后下断点正确触发方法(亲自实现发现有效)
如鹿渴慕泉水的专栏
02-21 2078
先开启真机内核态kernel调试!process 0 0 svchost.exe找到进程cid的地址然后进入.process /p  fffffa8032be2870然后.process /i; g再次中断后继续一定要重新加载用户态调试符号.reload /f /user或者.process /r /p  fffffa8032be2870先下一个kernel32断点bp /p fffffa8032...
Windbg教程-调试非托管程序的基本命令中
weixin_33674976的博客
02-28 139
前面的文章调试非托管程序的基本命令上讲到如何在windbg里面启动一个程序并且加载调试符号文件。一旦符号文件加载完毕以后,就可以进行调试了,例如设置断点,查看堆栈信息等等。   因为是刚刚启动程序(main函数还没有机会执行),可以查看源代码了解要设置断点的地方。设置断点可以使用bp、bu和bm来做,其中bp可以根据函数名、指令地址以及源代码文件地址来设置断点。   bp命令是在设置断...
在内核调试会话中设置用户态断点
农家小舍
05-14 1651
转:http://advdbg.org/blogs/advdbg_system/articles/1492.aspx   使用内核调试会话也可以执行一些用户态调试任务,比如向位于用户态的模块设置断点。但这样做与使用用户态调试器有什么不同呢?我们就以向NTDLL.dll模块的ZwTerminateProcess函数(Stub)为例谈谈二者的区别。   区别一、在内核调试会话中设置这个断点的“
Windows下64位驱动调试方法
jmhIcoding
03-10 5001
尴尬的境地 囧 很多候,我们写的驱动是64位的,而这种64位驱动是不可以在代码中加入_asm int 3 中断来实现在合适的地方进入中断。因为vs此会报:error C4235: 使用了非标准扩展: 不支持在此结构上使用“_asm”关键字 。 而目标平台又要求一定是64位的,因此这就很尴尬了。 好在,使用WinDBG可以解决这个问题。核心原理是WinDbg向gdb一样支持 按函数下断点。因此...
windbg双机调试配置
04-15
详细介绍了如何用windbg进行双机调试,本人一步一步验证的
使用Windbg双机调试驱动
08-07
"使用Windbg双机调试驱动" Windbg是微软出品的一款双机调试软件,用于调试Windows内核程序。双机调试的主要思想是使用虚拟机和主机来进行调试,虚拟机上安装要调试的操作系统,而主机上安装Windbg调试前的准备 ...
windbg 双机调试
06-06
### Windbg 双机调试详解 #### 一、Windbg双机调试概述 在软件开发过程中,特别是操作系统或驱动程序的开发中,经常会遇到需要在实际硬件环境下进行调试的情况。Windbg作为一款强大的调试工具,提供了多种调试模式...
7.windbg搭建双机调试环境.mp4
09-10
windows x64位驱动程序开发 7.windbg搭建双机调试环境
以前写过的文章----用windbg内核模式调试用户态程序
weixin_33913377的博客
03-22 353
今天非常激动。。终于解决了我调试驱动非常头痛的问题。。。。 在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。 链接如下: http://bbs.driverdevelop.com/htm_data/125/0901/115354.html 高端调试的文章转载 http://advdbg.org/blogs/advdbg_system/ar...
Windbg 内核态调试用户态进程
sxr__nc的博客
07-13 2203
之前写过双机调试环境的搭建,一般用来调试驱动这样内核态的东西,今天遇到一个问题,就是在内核态的情况下怎么给用户态的程序下断点?也就是在内核态怎么调试用户态的程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户态的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
在内核态下巧设用户模块断点
Viper的专栏
02-21 1730
<br />假如我们调试内核,需要在kernel32中设断点。一般情况下,使用调试器中断到内核中,当进程和线程都是Idle,<br />kd> !process<br />PROCESS 8054a900  SessionId: none  Cid: 0000    Peb: 00000000  ParentCid: 0000<br />    DirBase: 00039000  ObjectTable: e1000d68  HandleCount: 128.<br />    Image: Idl
WinDbg解决BHO不加载
weixin_34049948的博客
10-08 180
昨天zhengwei同学说他机器上的一个BHO不能正常加载,我把BHO的代码拿过来,在我的两台机器上都验证了一下,一台是Win7+IE8的环境,一台是XP+IE7的环境,都能正常加载。zhengwei的机器是IE6+XP的环境,不能正常加载,升级到IE7后,还是不能加载。排除了是操作系统,以及IE版本的原因。会不会是IE安全设置的原因呢?没有听说过IE安全设置会影响到BHO加载的,还是...
简单实现了下SSDT SHADOW HOOK
热门推荐
W Blog
11-03 1万+
介绍:         SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUs
Win7x64驱动调试环境搭建:VMWare + WinDbg双机调试指南
"驱动开发入门教程,专注于Win7 x64环境下的双机调试设置,利用WinDbg在物理机和VMWare虚拟机之间进行驱动程序的调试。" 本文主要介绍如何在Windows 7 64位操作系统环境下,通过WinDbg搭建一个双机调试环境,特别是...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值