windbg
文章平均质量分 69
记录使用windbg的过程
fei1160688828
这个作者很懒,什么都没留下…
展开
-
windbg内核调试过程配置
虚拟机配置:C:\WINDOWS\system32>bcdeditWindows 启动管理器标识符 {bootmgr}device partition=C:description Windows Boot Managerlocale zh-CNinherit {globalsettings}default原创 2021-12-30 20:28:58 · 614 阅读 · 0 评论 -
windbg3 windows系统部件
@TOP概览内核空间硬件抽象层操作系统内核执行体内核态驱动程序Windows 子系统驱动程序内核支持模块用户空间会话管理器进程(SMSS.EXE)Windows 子系统服务器进程(CSRSS.EXE)登录进程(WinLogon.EXE)本地安全和认证进程(LSASS.EXE)服务管理进程(SERVICES.EXE)OS/2 子系统和POSIX子系统服务进程外壳(Shell)程序 默认为Explorer.exe内核和HAL模块内核文件NTOSKRNL.EXE 内核原创 2021-12-29 17:01:53 · 312 阅读 · 0 评论 -
Windbg 2进程线程结构分析
目录任务进程资源进程空间EPROCESS结构PEB内核模式和用户模式线程ETHREADTEBWOW进程注册表重定向注册表反射文件系统重定向创建进程最小进程和Pico进程最小进程任务管理器任务一个进程或者一个线程叫任务进程资源虚拟地址空间全局唯一的进程ID可执行映像一个或多个线程一个位于内核空间的EPROCESS一个位于内核空间的对象句柄表一个用于描述内存目录表其实位置的基地址一个位于用户空间的进程环境块一个访问令牌进程空间用户空间内核空间EPROCESS结构1.查看所有原创 2021-12-29 15:04:43 · 848 阅读 · 0 评论 -
26 调试器分类和简介
这里写自定义目录标题TX-0计算机和FLIT调试器小型机和DDT调试器pdp-1TOPS-10操作系统和DDT-10个人计算机和它的调试器8086 MonitorSYMDEBCodeView调试器Turbo DebuggerSoftICE调试器的功能经典架构基本单元远程调试多语言和多处理器架构调试HPD标准标准简介动作点进程和线程的表示和命名命令TX-0计算机和FLIT调试器小型机和DDT调试器pdp-1TOPS-10操作系统和DDT-10个人计算机和它的调试器8086 MonitorSYMD原创 2021-12-27 14:20:55 · 211 阅读 · 0 评论 -
windbg 栈处理函数调用的过程(做一次记录)
这里写自定义目录标题main函数的汇编Proc的汇编函数Windbg 分析过程根据分析结果画的栈结构图main函数的汇编 HiStack!main:00e51080 55 push ebp00e51081 8bec mov ebp, esp00e51083 6a7a push 7Ah00e51085 e886ffffff call HiStack!Proc (00e51010)00e5108a原创 2021-12-23 18:53:32 · 622 阅读 · 0 评论 -
windbg1 目标机器类型切换
.effmach [MachineType]对目标机器类型进行切换 可以切换x86 amd64原创 2021-12-16 09:40:53 · 145 阅读 · 0 评论