通过windbg来查看window7资源管理器的文件拷贝

最新推荐文章于 2024-10-04 17:01:46 发布
最新推荐文章于 2024-10-04 17:01:46 发布
阅读量2k 收藏
点赞数
分类专栏: windbg 文章标签: windows hook shell api xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/forxy/article/details/5442510
版权

          在windows xp中,资源管理器(explorer.exe)对于文件的复制/粘接是通过CopyFile(ExW)来完成的。但是,到了windows7却不是这样了。由于要hook文件操作api,所以必须知道windows7的explorer.exe掉了些什么函数。

         通过wingdb可以发现,步骤如下:

1)在windows7下安装wingdb,并下载符号文件,并作设置;

2)将wingdb附加到explorer.exe进程;

3)在WriteFile处添加断点:bp kernel32!WriteFile

4) 输入命令 g;

5) 在资源管理器中进行复制然后粘贴,当粘贴后,通过ALT+TAB切换到wingdb,发现已到断点;

6)查看堆栈,输入命令:k

 

我们会发现,windows7资源管理器的文件复制/粘贴,主要用了SHFileOperationEx函数,下面没有调用CopyFile之类的函数。并且在windows7的shell32.dll中并没有SHFileOperationEx函数(只有SHFileOperation类函数)。

 

于是我不知道如何去hook这个SHFileOperationEx函数了,我用的是Detours,并不清楚其实现原理。

forxy
关注
专栏目录
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5412
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
开源WebRTC库放大器模式在采集桌面图像时遇到的DPI缩放与内存泄漏问题排查
热门推荐
dvlinker的技术专栏
06-10 3万+
详细讲述开源WebRTC库放大器模式在采集桌面图像时遇到的DPI缩放与内存泄漏问题的详细排查过程。
windbg适用于win7系统,亲测32位,64位可用
04-23
windbg适用于win7系统,亲测32位,64位可用
windbg win7 本地调试
cracj的专栏
10-05 688
1:以管理员身份运行cmd,输入bcdedit -
Windows内核】Windbg VMWARE 调试环境搭建 - win7_32位
最新发布
weixin_51399634的博客
10-04 246
Windows内核】Windbg VMWARE 调试环境搭建
电脑资料被拷贝了,能查出来吗?电脑文件拷贝痕迹查询小技巧
2401_85865355的博客
09-26 2938
虽然以上方法可以帮助发现电脑文件拷贝的痕迹,但需要注意的是,并非所有拷贝行为都会留下明显的痕迹。因此,保护数据安全的最有效方法仍然是定期备份重要文件,并加强电脑的安全防护措施。编辑:文文。
在win7 虚拟机上使用windbg进行内核调试的配置
lwt321的专栏
06-25 767
2、win7打开内核调试和串口模式。使用msconfig命令,使用管理员账号执行。注意红色箭头指示内容。端口号依据你本机的实际情况选择。配置完毕后进行重启。4、重启虚拟机,下图表示成功连接内核调试,可进行相关调试工作。配置完毕后启动windbg,如下图表明等待调试目标机连接。1、虚拟机上添加串口硬件,注意红色箭头指示的内容。WinDbg Preview配置。3、windbg配置。
Windbg调试windows handle泄漏
白发渔樵
11-20 1523
Visual Studio是开发时常用的利器,但是有些情况还是需要用到windbg作为调试工具, 1. windbg安装方便,直接拷贝也可以使用 2. windbg更为轻量级,内存占用更少 3. windbg可以方便的在没有源代码时支持调试 4. windbg可以支持调试脚本 5. windbg可以方便的进行内存检查 6. windbg可以查看crash dump 在工作的时候可
windbg调试和断点学习总结2
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点 在windbg中,断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块中的某个类的方法设置断点:   设置断点语法:           1:
Windows UAC权限详解以及因为权限不对等引发的若干问题分享
dvlinker的技术专栏
11-15 1万+
Windows UAC权限详解以及因为权限不对等引发的若干问题分享。
windbg下载win7&8&8.1合集
09-11
将找到的windbg做了个整理,在win7或win8环境开发时适配Visual studio2013下了很多debugger,可以一次下载下来看哪个版本适配,下边是版本号及文件 dbg x86 6.3.9600.17298.msi dbg x86 6.11.1.404.msi dbg x86 6.12.2.633.msi
C++使用hookapi监控文件操作程序
01-07
工程中包含一个监控文件的dll工程,和一个调用此dll测试文件监控的工程,可监控文件添加删除重命名移动等。
windows 7 + windbg 双机内核调试环境搭建(物理机+虚拟机)
qq_42931917的博客
09-01 2659
首先第一件事情是配置好虚拟机,我这里使用的VM里安装win 7,在虚拟机关机的情况下安装配置虚拟机的相关选项 如果配置选项中含有打印机选项,可以先把打印机移除,因为打印机也占了虚拟系统的一个com口 点击添加按钮添加串行端口 配置使用命名管道,我这里直接命名为\.\pipe\curtis_com1,并且勾选轮询时主动放弃选项 配置完虚拟机,第二件事情就是配置虚拟机中win 7系统 开启虚拟机,进入系统,配置GuestOS Win7系统的启动项。 1、以管理员身份运行cmd 2、键入bcdedit命令,
驱动开发入门 - 之二:Win7-x64 + VMWare (Win7-x64) + WinDbg 双机调试环境搭建
ζёСяêτ - 小優YoU
10-13 1万+
驱动开发入门 - 之二Win7-x64 + VMWare (Win7-x64) + WinDbg双机调试环境搭建—— By EXP 2017-10-08 完整原文下载(转载请注明出处,仅供分享学习,严禁用于商业用途) 1. 概述 1.1. 前言  适读人群:具备良好的C/C++开发经验,一定的逆向工程基础。   前置阅读:《驱动开发入门 - 之一 :Win7 SP1 x64 驱动开发环
使用windbg排查各种应用程序报错
weixin_34343000的博客
10-23 287
【问题现象】explorer.exe 应用程序报错。如图【原因说明】遇到explorer.exe应用程序报错,正常来讲explorer.exe 不会无缘无故的报错,一般都是第三方DLL 异常导致报错,然而如何快速的定位是哪个dll 程序是一个问题。首先经常用到的定位报错DLL的方法就是使用进程工具PCHunter查看explorer.exe 加载的多少模块,然后根据公司...
VirtualBox+WinDbg+Win7调试环境配置
07-02 2514
1.配置虚拟机串口如图 勾选启用串口->端口选择COM1->端口模式选择主机管道->勾选创建管道->端口文件位置输入:\\.\pipe\com1 2.配置虚拟机里面的系统,开启调试模式 Win7 下以管理员身份进入CMD分别输入以下命令: bcdedit /enum osloader bcdedit /copy {current} /d Win7Dbg
win10+windbg调试VMware+win7环境搭建
weixin_46396711的博客
04-17 300
准备工作 windbg下载地址:windbg windbg符号表配置 windbg符号表配置:https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/microsoft-public-symbols 这里,本人采用的是第一种方法,在环境变量中添加_NT_SYMBOL_PATH,值为srvDownstreamStorehttps://msdl.microsoft.com/download/symbols,其中DownstreamSt
SHFileOperation函数
jjchao的专栏
12-15 666
Windowsshellapi文件中定义了一个名为SHFileOperation()的外壳函数,用它可以实现各种文件操作,如文件拷贝、删除、移动等,该函数使用起来非常简单,它只有一个指向SHFILEOPSTRUCT结构的参数。使用SHFileOperation()函数时只要填写该专用结构--SHFILEOPSTRUCT,告诉Windows执行什么样的操作,以及其它重要信息就行了。SHFile
怎么通过windbg来调式windows的缓存管理
05-31
filecache``命令来查看文件缓存的状态和统计信息。 - 使用``!poolused``命令来查看池分配的情况,以便检查池泄漏。 - 使用``!sysptes``命令来查看系统页表的状态。 - 使用``!vm``命令来查看系统虚拟内存的状态。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值