windbg
文章平均质量分 69
记录使用windbg的过程
fei1160688828
这个作者很懒,什么都没留下…
展开
-
windbg内核调试过程配置
虚拟机配置: C:\WINDOWS\system32>bcdedit Windows 启动管理器 标识符 {bootmgr} device partition=C: description Windows Boot Manager locale zh-CN inherit {globalsettings} default原创 2021-12-30 20:28:58 · 590 阅读 · 0 评论 -
windbg3 windows系统部件
@TOP 概览 内核空间 硬件抽象层 操作系统内核 执行体 内核态驱动程序 Windows 子系统驱动程序 内核支持模块 用户空间 会话管理器进程(SMSS.EXE) Windows 子系统服务器进程(CSRSS.EXE) 登录进程(WinLogon.EXE) 本地安全和认证进程(LSASS.EXE) 服务管理进程(SERVICES.EXE) OS/2 子系统和POSIX子系统服务进程 外壳(Shell)程序 默认为Explorer.exe 内核和HAL模块 内核文件 NTOSKRNL.EXE 内核原创 2021-12-29 17:01:53 · 300 阅读 · 0 评论 -
Windbg 2进程线程结构分析
目录任务进程资源进程空间EPROCESS结构PEB内核模式和用户模式线程ETHREADTEBWOW进程注册表重定向注册表反射文件系统重定向创建进程最小进程和Pico进程最小进程任务管理器 任务 一个进程或者一个线程叫任务 进程资源 虚拟地址空间 全局唯一的进程ID 可执行映像 一个或多个线程 一个位于内核空间的EPROCESS 一个位于内核空间的对象句柄表 一个用于描述内存目录表其实位置的基地址 一个位于用户空间的进程环境块 一个访问令牌 进程空间 用户空间 内核空间 EPROCESS结构 1.查看所有原创 2021-12-29 15:04:43 · 799 阅读 · 0 评论 -
26 调试器分类和简介
这里写自定义目录标题TX-0计算机和FLIT调试器小型机和DDT调试器pdp-1TOPS-10操作系统和DDT-10个人计算机和它的调试器8086 MonitorSYMDEBCodeView调试器Turbo DebuggerSoftICE调试器的功能经典架构基本单元远程调试多语言和多处理器架构调试HPD标准标准简介动作点进程和线程的表示和命名命令 TX-0计算机和FLIT调试器 小型机和DDT调试器 pdp-1 TOPS-10操作系统和DDT-10 个人计算机和它的调试器 8086 Monitor SYMD原创 2021-12-27 14:20:55 · 201 阅读 · 0 评论 -
windbg 栈处理函数调用的过程(做一次记录)
这里写自定义目录标题main函数的汇编Proc的汇编函数Windbg 分析过程根据分析结果画的栈结构图 main函数的汇编 HiStack!main: 00e51080 55 push ebp 00e51081 8bec mov ebp, esp 00e51083 6a7a push 7Ah 00e51085 e886ffffff call HiStack!Proc (00e51010) 00e5108a原创 2021-12-23 18:53:32 · 574 阅读 · 0 评论 -
windbg1 目标机器类型切换
.effmach [MachineType] 对目标机器类型进行切换 可以切换x86 amd64原创 2021-12-16 09:40:53 · 120 阅读 · 0 评论