Windbg命令查看IRP IO_STACK_LOACTION结构体成员

最新推荐文章于 2022-06-03 22:51:15 发布
最新推荐文章于 2022-06-03 22:51:15 发布
阅读量2.2k 收藏
点赞数
分类专栏: Windows驱动开发API以及数据结构 文章标签: 驱动 Windgb IRP IO_STACK_LOACTION
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faithzzf/article/details/54170620
版权

     dt命令查看结构体成员。加入 /r 递归列举每个成员(dt nt!_irp /r)。

     这个是双机调试32位系统下查询的结果, 列举每个成员的偏移量,对于调试汇编代码或者逆向分析驱动是很有帮助的,汇编访问结果体成员的时候都是通过偏移值进行的。知道偏移值以及数据结构的类型,就可以知道访问的成员是那一个了。


kd> dt nt!_irp

   +0x000 Type             : Int2B
   +0x002 Size             : Uint2B
   +0x004 MdlAddress       : Ptr32 _MDL
   +0x008 Flags            : Uint4B
   +0x00c AssociatedIrp    : __unnamed
   +0x010 ThreadListEntry  : _LIST_ENTRY
   +0x018 IoStatus         : _IO_STATUS_BLOCK
   +0x020 RequestorMode    : Char
   +0x021 PendingReturned  : UChar
   +0x022 StackCount       : Char
   +0x023 CurrentLocation  : Char
   +0x024 Cancel           : UChar
   +0x025 CancelIrql       : UChar
   +0x026 ApcEnvironment   : Char
   +0x027 AllocationFlags  : UChar
   +0x028 UserIosb         : Ptr32 _IO_STATUS_BLOCK
   +0x02c UserEvent        : Ptr32 _KEVENT
   +0x030 Overlay          : __unnamed
   +0x038 CancelRoutine    : Ptr32     void 
   +0x03c UserBuffer       : Ptr32 Void
   +0x040 Tail             : __unnamed
kd> dt nt!_io_stack_location
   +0x000 MajorFunction    : UChar
   +0x001 MinorFunction    : UChar
   +0x002 Flags            : UChar
   +0x003 Control          : UChar
   +0x004 Parameters       : __unnamed
   +0x014 DeviceObject     : Ptr32 _DEVICE_OBJECT
   +0x018 FileObject       : Ptr32 _FILE_OBJECT
   +0x01c CompletionRoutine : Ptr32     long 
   +0x020 Context          : Ptr32 Void
faithzzf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IRP详细介绍
05-03
比较详细的介绍IRP的文档,对驱动初学者应该比较有用!
IRPWinDbg相关调试
weixin_34021089的博客
06-29 655
查找所有设备,从中间找到KeyboardClass0或者kbdclass创建的设备 !object \device 查找设备对象的IRP !irpfind 0 0 device 80e03e38 查看IRP具体信息 !irp 80d839b8 查找发送IRP的线程 !thread 80df54b8 显示Cid 01d0.0210 得知进程ID=01d0,线程ID...
15.driverbase-IRPIO_STACK_LOCATION、文件三种读写方式(buffer/driect/other)、DeviceIoControl
hgy413的专栏
02-16 2440
IRP简介 文件读写的三种方式简介及windbg调试 DeviceIoControl与驱动交互
Windows内核中IRP的处理与完成机制
04-23 3412
最近一段时间我将《Windows驱动开发详解》翻阅了一遍,个别章节进行了精读,还是很有体会的,在此想对Window设备驱动开发的一些思想做一下总结。由于这几年在Linux驱动开发方面做了很多工作,因此会将Linux驱动Windows驱动做一下简单的比较。        2003年时做本科毕业设计,那时候首次涉及Windows驱动程序,由于课题的需要,因此直接采用DriverSt
gdb 笔记(06)— 查看当前函数参数、查看结构体/类的值、查看数组的值
热门推荐
wohu1104的专栏
06-03 1万+
1. 查看当前函数参数 当程序在函数中暂停后,即可查看函数的参数。语法如下: info agrs 或者 i args 使用示例 (gdb) b fun_test Breakpoint 1 at 0x969: file demo.cpp, line 6. (gdb) r Starting program: /home/wohu/cppProject/book_debug/chapter_3.1/demo ret is 8 Breakpoint 1, fun_test (a=10, str=0x5555
szz.rar_EDA_windbg visual_数字钟_数字钟 VHDL
09-22
是EDA设计的数字钟的VHDL语言程序,可用Max+Plus2进行编译,仿真并下载到芯片中。
userext.rar_ userext_Windbg扩展_userext_windbg
09-24
调试工具windbg的扩展插件,可以查看进程中的所有窗口信息,可以结合windbg命令使用:!hwnd * 函数: hwnd * 功能: 显示被调试进程中的窗口信息 * 参数: hwnd [-h] [Handle [ UMFlags [TypeName] ] ] * ...
labo_windbg_script_windbg_zip_
09-30
labo_windbg_script.zip
VM-WinDbg.rar_vm_windbg
09-22
VM+WinDbg调试驱动 VM+WinDbg调试驱动
windbg_advanced.rar_windbg
09-19
advance usage about windbg.
I/O Request Packet
zhuo_zhibin的专栏
09-14 5863
第5章 I/O Request Packet 5.1 数据结构 在处理 I/O 请求上,有两个重要的数据结构:IRP(I/O request packet)和 IO_STACK_LOCATION 5.1.1 IRP 的结构 下面是在 windbg 里得到的 IRP 结构: nt!_IRP +0x000 Type : Int2B +0x002 Size
windbg 使用
代号9527
07-27 1799
使用WinDbg内核调试看雪学院,笨笨雄译安装程序基础挑选技术取得更多信息WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用的WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。本文将假定开发者熟悉一般WINDOWS操作系统和进
Windbg内核调试(大杂烩)
sanshao27的专栏
04-21 6876
Windbg内核调试之三: 调试驱动这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分
实战windbg调试驱动例子
03-31 3225
这几天上网查了一些关于WINDBG的资料,发现很多朋友在寻找关于WINDBG的教程. (呵呵,我也在寻找有关于此的一些材料) 本来是一想写关于sr.sys的分析的,不过觉得始终不妥,一句老话,授人以鱼不 如授人以渔,所以这篇文章以sr.sys分析作为示例,不过我们的重点却是要放在 WINDBG的使用上.首先来介绍一下搭建的环境: WINDBG:Windows Debugger    Versi
Windows驱动开发(9) - IRP结构体
Vinx Blog
06-22 1680
Windows驱动开发(9) - IRP结构体typedef struct _IRP { PMDL MdlAddress; ULONG Flags; union { struct _IRP* MasterIrp; PVOID SystemBuffer; } AssociatedIrp; IO_
typedef IRP *PIRP;
autumn20080101的专栏
05-20 725
// // I/O Request Packet (IRP) definition // typedef struct DECLSPEC_ALIGN(MEMORY_ALLOCATION_ALIGNMENT) _IRP { CSHORT Type; USHORT Size; // // Define the common fields used to contro
图解windbg查看Win7结构体
bcbobo21cn的专栏
08-27 6175
首先用windbg打开notepad.exe; dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。 下面用dt命令查看结构体查看peb结构; 查看eprocess结构; 查看特定地址的eprocess结构内容; *是通配符;显示所有peb打头的结构体名称;
windbg分析dmp 时STACK_TEXT什么意思
最新发布
06-03
Windbg中,当分析dmp文件时,STACK_TEXT是一个常用的命令,用于显示当前线程的函数调用堆栈。其中,STACK_TEXT命令会显示每个函数调用的返回地址、调用地址以及函数名等信息,以帮助我们了解程序崩溃时的执行流程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值