【转帖】学习WinDbg - (1)查看内核数据结构

最新推荐文章于 2023-06-14 14:08:05 发布
最新推荐文章于 2023-06-14 14:08:05 发布
阅读量1k 收藏 1
点赞数
分类专栏: 驱动开发 文章标签: 数据结构 image module 服务器 report list

首先进入本地内核调试,菜单“File” -- “Kernel Debug..”,选“Local”项,确定。

然后要设定好符号文件,WinDbg就是通过符号文件才能显出内核数据结构。
对于查看内核数据结构,我们只要设定好ntoskrnl.exe的符号文件就可以了。
  
//设定符号文件路径到本地及微软服务器:
lkd> .sympath SRV*H:/Symbols*http://msdl.microsoft.com/download/symbols
  
//下载ntoskrnl.exe的符号文件:
lkd> .reload /f nt
WinDbg将会从微软的符号文件服务器去下载ntoskrnl.exe的符号文件到本地。
  
//查看详细的模块信息:
lkd> !lmi nt
Loaded Module Info: [nt]
          Module: ntkrnlpa
    Base Address: 804d8000
      Image Name: ntkrnlpa.exe
    Machine Type: 332 (I386)
      Time Stamp: 45e53f9c Wed Feb 28 16:38:52 2007
            Size: 1f6400
        CheckSum: 1facf5
Characteristics: 12e  
Debug Data Dirs: Type   Size      VA   Pointer
              CODEVIEW     25,   9540,     9540 RSDS - GUID: {F612363D-B38C-423C-B085-59DDBCA9F2F7}
                Age: 1, Pdb: ntkrnlpa.pdb
      Image Type: MEMORY    - Image read successfully from loaded memory.
     Symbol Type: PDB       - Symbols loaded successfully from symbol server.
                  H:/Symbols/ntkrnlpa.pdb/F612363DB38C423CB08559DDBCA9F2F71/ntkrnlpa.pdb
     Load Report: public symbols , not source indexed
                  H:/Symbols/ntkrnlpa.pdb/F612363DB38C423CB08559DDBCA9F2F71/ntkrnlpa.pdb

可以看到,ntoskrnl的符号文件已经成功加载了,现在就可以用dt (Display Type)命令来查看内核数据结构了。

//列出所有的内核数据结构的名称:
lkd> dt nt!_*
           nt!_LIST_ENTRY
           nt!_LIST_ENTRY
           nt!_IMAGE_NT_HEADERS
           nt!_IMAGE_FILE_HEADER
           nt!_IMAGE_OPTIONAL_HEADER
           nt!_IMAGE_NT_HEADERS
           nt!_LARGE_INTEGER

//列出DRIVER_OBJECT的结构
lkd> dt nt!_DRIVER_OBJECT
    +0x000 Type              : Int2B
    +0x002 Size              : Int2B
    +0x004 DeviceObject      : Ptr32 _DEVICE_OBJECT
    +0x008 Flags             : Uint4B
    +0x00c DriverStart       : Ptr32 Void
    +0x010 DriverSize        : Uint4B
    +0x014 DriverSection     : Ptr32 Void
    +0x018 DriverExtension   : Ptr32 _DRIVER_EXTENSION
    +0x01c DriverName        : _UNICODE_STRING
    +0x024 HardwareDatabase : Ptr32 _UNICODE_STRING
    +0x028 FastIoDispatch    : Ptr32 _FAST_IO_DISPATCH
    +0x02c DriverInit        : Ptr32    
    +0x030 DriverStartIo     : Ptr32    
    +0x034 DriverUnload      : Ptr32    
    +0x038 MajorFunction     : [28] Ptr32      
   
//清屏
.cls

floweronwarmbed
关注
专栏目录
windbg-cheat-sheet:我使用WinDbg进行内核调试的个人备忘单
04-27
内核调试和WinDbg备忘单我使用WinDbg进行内核调试的个人备忘单。 当我使用WinDbg进行新操作时,本备忘单/迷你指南也会更新。内核调试设置安装调试工具要使用windbg,您必须安装。 我建议从Windows应用商店安装Windbg...
学习WinDbg - (1)查看内核数据结构
darkbasic的专栏
05-03 7114
学习WinDbg - (1)查看内核数据结构darkbasic 2007.05.03首先进入本地内核调试,菜单“File” -- “Kernel Debug..”,选“Local”项,确定。然后要设定好符号文件,WinDbg就是通过符号文件才能显出内核数据结构。对于查看内核数据结构,我们只要设定好ntoskrnl.exe的符号文件就可以了。  //设定符号文件路径到本地及微软服务器:lkd
windbg 查看结构体_Windbg入门实战讲解
weixin_42467088的博客
12-31 1354
windbg作为windows调试的神器。是查看内核某些结构体,挖掘漏洞,调试系统内核,调试驱动等必不可少的工具。但是由于windbg命令众多,界面友好程度较差,从而造成新人上手不易,望而却步。本文抛砖引玉,从基础入手,讲解windbg。希望同作为新人的我们一起进步!注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。因为这部分的内容,网络上太多了。读者可自行百度。但是请注意:这两部...
Vista 不直接支持WinDBG内核调试
bcbobo21cn的专栏
01-22 599
windbg 本地内核调试模式;
Windbg命令
zwx000000的专栏
06-14 2868
1.       g//F5 Run(g)            F7运行到光标处           F9设断点           p(step)//F10 单步run     t//F11单步进入函数run  ctrl+break 暂停 2.       .sympath C:\MyCodesSymbols; SRV*C:\MyLocalSymbols*http://ms
windbg 查看结构体_用WinDbg进行调试
weixin_31050349的博客
12-23 908
通往WinDbg的捷径(一)windbg的使用详细:http://wenku.baidu.com/view/f576c31e650e52ea55189832.html导言你钟情什么样的调试器?如果你问我这个问题,我会回答是“VisualStudio+WinDbg”。我比较喜欢VisualStudio那朴实无华且易操作的接口,更喜欢它能迅速把我需要的信息以可视的形式展示出来。但遗憾的是,Vi...
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
Windbg调试工具 Windbg-10.0.18.zip
最新发布
08-21
Windbg是一款由微软开发的强大调试工具,主要用于对Windows操作系统下的应用程序进行调试和分析。它集成了丰富的调试功能,包括但不限于崩溃分析、内存检测、线程分析、模块加载、符号解析等,是软件开发者、系统...
windbg-order.rar_windbg
09-20
本压缩包“windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档“windbg order.doc”将详细介绍一些常用的Windbg命令,帮助你快速掌握这款神器的基本操作。 一、基本概念 Windbg是...
windbg-info:与使用和改进windbg相关的链接的集合
05-12
windbg信息 该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列表中。 WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析...
观察进程线程的数据结构
11-28
详细介绍了在Windows Server 2008下用windbg调试工具查看进程和线程结构体和其他跟进程线程相关的东西。
【愚公系列】2023年06月 内存分析之WinDbg内核模式)
时光隧道
06-14 3990
内核模式和用户模式是操作系统中的两种不同的运行模式。内核模式是操作系统的高权限模式,运行在CPU的特殊特权级别下,可以执行任何CPU指令并且可以访问所有系统资源,包括硬件设备和内存。用户模式是操作系统的低权限模式,在这个模式下,CPU只能执行一部分指令,并且对系统资源的访问受到限制,例如只能访问属于自己进程的内存空间。当操作系统启动时,内核被加载到内存中,并运行在内核模式下。当用户运行应用程序时,应用程序运行在用户模式下,只能访问自己的内存空间和一些受限的系统资源。
WinDBG查看内核数据结构
Diomedes's Place
12-20 2564
查看详细的模块信息:!lmi nt 枚举所有内核数据结构:dt nt!_* 查看数据结构详细信息:dt nt!_xxx // !lmi nt [查看详细的模块信息] kd> !lmi nt Loaded Module Info: [nt] Module: ntkrnlpa Base Address: 804d8000 Image Name: n
windbg 查看结构体_windbg常见命令
weixin_34830055的博客
01-16 2046
WinDbgWinDbg支持以下三种类型的命令:·常规命令,用来调试进程·点命令,用来控制调试器·扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令PDB文件PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全局变量信息。公有PDB文件不包含类型,本地变量和源代码行信息,且只包含...
Windows 驱动开发 之 WinDbg调试(一)
Time Limit Exceeded on test 99
06-16 1696
Windbg 调试课程相关笔记
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1251
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
图解windbg查看Win7结构体
bcbobo21cn的专栏
08-27 6286
首先用windbg打开notepad.exe; dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。 下面用dt命令查看结构体; 查看peb结构; 查看eprocess结构; 查看特定地址的eprocess结构内容; *是通配符;显示所有peb打头的结构体名称;
观察Windows的内核模块、数据结构和函数
weixin_30301183的博客
12-01 101
观察Windows的内核模块、数据结构和函数 1,启动WinDbg的本地内核调试(File > Kernel Debug… > Local)。 2,键入.symfix c:"symbols设置符号服务器和用于存储符号文件的本地目录。 3,键入.sympath观察当前的符号路径。其结果应该如下所示: lkd> .sympath Symbol sear...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值