windbg3 windows系统部件

最新推荐文章于 2022-10-18 17:41:19 发布
最新推荐文章于 2022-10-18 17:41:19 发布
阅读量308 收藏
点赞数
分类专栏: windbg 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fei1160688828/article/details/122216949
版权

@TOP

概览

内核空间

  1. 硬件抽象层
  2. 操作系统内核
  3. 执行体
  4. 内核态驱动程序
  5. Windows 子系统驱动程序
  6. 内核支持模块

用户空间

  1. 会话管理器进程(SMSS.EXE)
  2. Windows 子系统服务器进程(CSRSS.EXE)
  3. 登录进程(WinLogon.EXE)
  4. 本地安全和认证进程(LSASS.EXE)
  5. 服务管理进程(SERVICES.EXE)
  6. OS/2 子系统和POSIX子系统服务进程
  7. 外壳(Shell)程序 默认为Explorer.exe

内核和HAL模块

内核文件

NTOSKRNL.EXE 内核文件

HAL

硬件抽象层模块
中断请求级别内核中的重要机制

空闲进程

系统进程和 空闲进程
NT内核启动时会创建空闲进程
查看空闲进程

6: kd> !prcb
PRCB for Processor 6 at ffffb800fcbe1180:
Current IRQL -- 13
Threads--  Current ffff84898fe7f480 Next ffff8489821f5700 Idle ffffb800fcbf1200
Processor Index 6 Number (0, 6) GroupSetMember 40
Interrupt Count -- 0000e351
Times -- Dpc    00000027 Interrupt 00000001 
         Kernel 0000059f User      00000018 

6: kd> !thread ffffb800fcbf1200
THREAD ffffb800fcbf1200  Cid 0000.0000  Teb: 0000000000000000 Win32Thread: 0000000000000000 RUNNING on processor 6
Not impersonating
DeviceMap                 ffffe18f2b818ad0
Owning Process            fffff800064679c0       Image:         Idle
Attached Process          ffff84898203c440       Image:         System
Wait Start TickCount      749            Ticks: 757 (0:00:00:11.828)
Context Switch Count      7923           IdealProcessor: 6             
UserTime                  00:00:00.000
KernelTime                00:00:07.500
Win32 Start Address nt!KiIdleLoop (0xfffff800061acd70)
Stack Init ffff97895527fb90 Current ffff97895527fb20
Base ffff978955280000 Limit ffff978955279000 Call 0000000000000000
Priority 0 BasePriority 0 PriorityDecrement 0 IoPriority 0 PagePriority 0
Child-SP          RetAddr               : Args to Child                                                           : Call Site
ffff9789`5527fb60 00000000`00000000     : ffff9789`55280000 ffff9789`55279000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x11d

空闲进程的进程ID字段为空
使用!process 观察空闲进程

6: kd> !process fffff800064679c0
PROCESS fffff800064679c0
    SessionId: none  Cid: 0000    Peb: 00000000  ParentCid: 0000
    DirBase: 001ad002  ObjectTable: ffffe18f2b814040  HandleCount: 2564.
    Image: Idle
    VadRoot ffff848982059eb0 Vads 1 Clone 0 Private 8. Modified 2029. Locked 0.
    DeviceMap 0000000000000000
    Token                             ffffe18f2b817040
    ElapsedTime                       00:00:19.992
    UserTime                          00:00:00.000
    KernelTime                        00:00:00.000
    QuotaPoolUsage[PagedPool]         0
    QuotaPoolUsage[NonPagedPool]      136
    Working Set Sizes (now,min,max)  (8, 50, 450) (32KB, 200KB, 1800KB)
    PeakWorkingSetSize                2
    VirtualSize                       0 Mb
    PeakVirtualSize                   0 Mb
    PageFaultCount                    8
    MemoryPriority                    BACKGROUND
    BasePriority
最低0.47元/天 解锁文章
fei1160688828
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg适用于win7系统,亲测32位,64位可用
04-23
Windbg是一款强大的Windows...总结,WindbgWindows调试领域的一把利器,尤其在Win7系统中,无论是解决应用程序异常还是优化系统性能,都能发挥重要作用。熟练掌握Windbg的使用,将极大地提升开发者的问题排查效率。
系统断点在哪里&&如何断在TLS回调前
KD的疯狂实验室
05-25 2330
系统断点Windows当你调试一个程序时,系统给了我们一次机会在被调试前。 ntdll.dll-LdrpDoDebuggerBreak() 如图: 通过一个int3断点来实现应用程序启动前将控制权传递给调试器。该函数一般被映射在0x771E1CC8,如果不存在调试器或者,启动应用的调试器不理睬这个断点,该函数自己的异常处理程序。 有些壳程序的反调试也是采用类似的手法,一旦壳程序的异常处理
用户层修改peb实现隐藏一些东西
weixin_34032827的博客
03-14 972
#include "stdafx.h" #include <string> #include <Windows.h> #include <Shlwapi.h> #pragma comment(lib,"ole32.lib") #pragma comment(lib,"shlwapi.lib") #pragma comment(lib,"shell32.l...
通过读写PEB.Ldr实现模块枚举和模块隐藏(脱链)
DontBeProud
09-10 2796
·获取PEB_LDR_DATA         关于获取Ldr的方法,网上有大量的博客作了介绍,但可能因为这些博客写的比较早,所以其中一些类似于“fs[30]指向PEB,PEB+0x0C即为Ldr指针”的观点虽然在当时非常适用,但在如今则显得不尽严谨,因为x86和x64下TEB、PEB、PEB_LDR_DATA等结构体的成员大小是不同的,使用的部分寄存器也有差异,例如x64下通过gs[0x60...
系统调试工具windbg
12-24
Windbg,全称为Windows Debugger,是一款强大的系统级调试工具,由微软公司开发并提供,主要用于对Windows操作系统下的应用程序和驱动程序进行调试。它在IT领域尤其是系统开发、故障排查和性能优化方面扮演着至关...
Windbg中文调试手册
04-26
- Windbg支持的操作系统包括Windows 11的所有版本以及Windows 10周年更新(版本1607)或更高版本。 - 支持的处理器架构为x64和ARM64。 **安装与更新** - 用户可以通过点击“安装”按钮来下载和安装Windbg。安装...
Windows 调试程序 (WinDbg)
01-14
WinDbg是一款强大的调试工具,由Microsoft提供,用于对Windows操作系统进行内核模式和用户模式的调试。这款工具是Windows开发和故障排除过程中的得力助手,尤其在处理崩溃、性能问题或复杂错误时显得尤为重要。 ###...
枚举当前进程
11-29
通过ToolHelp API获取当前windows系统运行的所有进程!
易语言EnumerateLoadedModules枚举进程模块
07-20
易语言EnumerateLoadedModules枚举进程模块源码,Callback,GetCurrentProcessId,EnumerateLoadedModules,OpenProcess
windows-windbg
最新发布
10-31
Windbg,全称Windows Debugger,是微软提供的一款强大的调试工具,主要用于对Windows操作系统及应用程序进行调试。它在软件开发、系统分析、故障排除等领域有着广泛的应用,尤其在处理系统崩溃、蓝屏等问题时,...
2020-09-09
GamerMonstor的博客
09-09 138
windows进程ldr链地址null 讲个笑话,windows进程ldr链地址变0了。 没错,就是那个peb里的ldr地址。 前面写了程序,让我能看到进程创建之前的动态库加载。因为一些非技术原因,搞mapviewofsection是行不通的(手动狗头),于是就想在进程创建之后对整个dll链进行扫。这里说一下,进程的静态加载中,kernel32是使用ntdll函数中的LdrLoadDll进行加载的,但并不是所有的dll都会通过这个函数加载,更多的会使用LdrpProcessStaticImport
win7x64新进程画面均无显示一例分析——从内核态到用户态,从x64到wow64,从汇编到托管
u010607621的博客
10-18 745
新进程无画面是因为0号线程被mutex(DictManager_GlobalLocker)卡住。 输入法SOGOUPY用到的mutex(DictManager_GlobalLocker)无法释放是新进程卡住的直接原因。 无法释放是因为本该由进程Imclient里线程fffffa80c895c950释放,但是它也被CriticalSection=7b0138卡住无法释放。 cs=7b0138本该由Imclient里线程574来释放,但是它出了异常,异常代码的执行中也进入Wait了。
解开 Windows 下的临界区中的代码死锁(转)
weixin_33842304的博客
11-25 277
摘要 临界区是一种防止多个线程同时执行一个特定代码节的机制,这一主题并没有引起太多关注,因而人们未能对其深刻理解。在需要跟踪代码中的多线程处理的性能时,对 Windows 中临界区的深刻理解非常有用。 本文深入研究临界区的原理,以揭示在查找死锁和确认性能问题过程中的有用信息。它还包含一个便利的实用工具程序,可以显示所有临界区及其当前状态。 在我们许多年的编程实践中,对于 Win32® 临界区没...
WIN7_LDR_DATA_TABLE_ENTRY结构(x86 x64)
baidu_36226689的博客
04-17 2442
typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIST_ENTRY InInitializationOrderLinks; PVOID      DllBase; PVOID      EntryPoint; ULONG32    S
Windows内核模块名称遍历
qq726232111的博客
12-15 839
0x00 原理 内核模块信息以_LDR_DATA_TABLE_ENTRY结构形式存在于系统, 该结构以双向链表将所有的模块信息关联起来。 0x01 实现 1.1 基于WinDbg获取_LDR_DATA_TABLE_ENTRY结构 在WinDbg中调试过程中输入 dt _LDR_DATA_TABLE_ENTRY 来获取_LDR_DATA_TABLE_ENTRY结构结构信息 以下是我在调试Win10时获取的信息: kd> dt _LDR_DATA_TABLE_ENTRY nt!_LDR_D..
ldr命令
YitengKaji的博客
05-19 3978
一直以来,关于ldr的命令的理解,总是很模糊,网上有很多讲解的文章,讲的不全面,有时互相矛盾。得到一个结论就是:看资料还是尽量看最权威、最源头的资料。 1.ldr汇编指令 参考资料: ARM体系结构与编程(第二版) 杜春雷 2.2.2 字及无符号字节的Load/Store 指令的寻址方式:讲的概括性 3.1.6 Load/Store内存访问指令:具体的例子 ldr汇编指令 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值