通过windbg来查看window7资源管理器的文件拷贝

最新推荐文章于 2023-12-19 16:23:54 发布

forxy

最新推荐文章于 2023-12-19 16:23:54 发布

阅读量2k

点赞数

分类专栏： windbg 文章标签： windows hook shell api xp

本文链接：https://blog.csdn.net/forxy/article/details/5442510

版权

windbg 专栏收录该内容

3 篇文章 0 订阅

订阅专栏

在windows xp中，资源管理器（explorer.exe)对于文件的复制/粘接是通过CopyFile（ExW）来完成的。但是，到了windows7却不是这样了。由于要hook文件操作api，所以必须知道windows7的explorer.exe掉了些什么函数。

通过wingdb可以发现，步骤如下：

1）在windows7下安装wingdb,并下载符号文件，并作设置；

2）将wingdb附加到explorer.exe进程；

3）在WriteFile处添加断点：bp kernel32!WriteFile

4) 输入命令 g;

5) 在资源管理器中进行复制然后粘贴，当粘贴后，通过ALT+TAB切换到wingdb,发现已到断点；

6）查看堆栈，输入命令：k

我们会发现，windows7资源管理器的文件复制/粘贴，主要用了SHFileOperationEx函数，下面没有调用CopyFile之类的函数。并且在windows7的shell32.dll中并没有SHFileOperationEx函数（只有SHFileOperation类函数）。

于是我不知道如何去hook这个SHFileOperationEx函数了，我用的是Detours，并不清楚其实现原理。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

forxy

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Windows和Linux下排查C++软件异常的常用调试器与内存检测工具详细介绍

dvlinker的技术专栏

08-17

2万+

本文详细介绍了Windows和Linux下排查C++软件异常的常用调试器与内存监测工具。

《格蠹汇编》读书笔记—windbg的使用

u012138730的专栏

05-25

5364

1.注册表设置注册表设置要调试的exe的 debugger 为 x86的windbg 打开注册表，在[运行] （win+ R）中输入 regedit，找到下面这个路径：比如想要调试test.exe, 就新建一个test.exe 文件夹，并新建一个字符串值的键，名称为 Debugger，值为 windbg所在的路径 2.打开windbg，需要设置这三个路径，但是这个...

1 条评论您还未登录，请先登录后发表或查看评论

windbg适用于win7系统，亲测32位，64位可用

04-23

windbg适用于win7系统，亲测32位，64位可用

windbg win7 本地调试

cracj的专栏

10-05

676

1：以管理员身份运行cmd，输入bcdedit -

如何查看电脑拷贝记录？如何查看U盘拷贝记录

热门推荐

dvlinker的技术专栏

06-10

3万+

详细讲述开源WebRTC库放大器模式在采集桌面图像时遇到的DPI缩放与内存泄漏问题的详细排查过程。

windbg调试和断点学习总结2

bcbobo21cn的专栏

12-13

1万+

WinDbg 设置断点在windbg中，断点设置的地址形式有好多种，可以是以下几种： 1.虚拟地址：即给出直接地址，如 12345678 2.函数偏移量：如DriverEntry+5c. 3.源代码+行数：`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块中的某个类的方法设置断点：设置断点语法： 1:

Windbg调试windows handle泄漏

白发渔樵

11-20

1501

Visual Studio是开发时常用的利器，但是有些情况还是需要用到windbg作为调试工具， 1. windbg安装方便，直接拷贝也可以使用 2. windbg更为轻量级，内存占用更少 3. windbg可以方便的在没有源代码时支持调试 4. windbg可以支持调试脚本 5. windbg可以方便的进行内存检查 6. windbg可以查看crash dump 在工作的时候可

windbg下载win7&8&8.1合集

09-11

将找到的windbg做了个整理，在win7或win8环境开发时适配Visual studio2013下了很多debugger，可以一次下载下来看哪个版本适配，下边是版本号及文件 dbg x86 6.3.9600.17298.msi dbg x86 6.11.1.404.msi dbg x86 6.12.2.633.msi

C++使用hookapi监控文件操作程序

01-07

工程中包含一个监控文件的dll工程，和一个调用此dll测试文件监控的工程，可监控文件添加删除重命名移动等。

驱动开发入门 - 之二：Win7-x64 + VMWare (Win7-x64) + WinDbg 双机调试环境搭建

ζёСяêτ - 小優YoU

10-13

1万+

驱动开发入门 - 之二Win7-x64 + VMWare (Win7-x64) + WinDbg双机调试环境搭建—— By EXP 2017-10-08 完整原文下载（转载请注明出处，仅供分享学习，严禁用于商业用途） 1. 概述　1.1. 前言　　适读人群：具备良好的C/C++开发经验，一定的逆向工程基础。　　前置阅读：《驱动开发入门 - 之一：Win7 SP1 x64 驱动开发环

使用windbg排查各种应用程序报错

weixin_34343000的博客

10-23

279

【问题现象】explorer.exe 应用程序报错。如图【原因说明】遇到explorer.exe应用程序报错，正常来讲explorer.exe 不会无缘无故的报错，一般都是第三方DLL 异常导致报错，然而如何快速的定位是哪个dll 程序是一个问题。首先经常用到的定位报错DLL的方法就是使用进程工具PCHunter查看explorer.exe 加载的多少模块，然后根据公司...

VirtualBox+WinDbg+Win7调试环境配置

张拓的博客

07-02

2491

1.配置虚拟机串口如图勾选启用串口->端口选择COM1->端口模式选择主机管道->勾选创建管道->端口文件位置输入:\\.\pipe\com1 2.配置虚拟机里面的系统，开启调试模式 Win7 下以管理员身份进入CMD分别输入以下命令： bcdedit /enum osloader bcdedit /copy {current} /d Win7Dbg

win10+windbg调试VMware+win7环境搭建

weixin_46396711的博客

04-17

285

准备工作 windbg下载地址：windbg windbg符号表配置 windbg符号表配置：https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/microsoft-public-symbols 这里，本人采用的是第一种方法，在环境变量中添加_NT_SYMBOL_PATH，值为srvDownstreamStorehttps://msdl.microsoft.com/download/symbols，其中DownstreamSt

SHFileOperation函数

jjchao的专栏

12-15

654

在Windows的shellapi文件中定义了一个名为SHFileOperation（）的外壳函数，用它可以实现各种文件操作，如文件的拷贝、删除、移动等，该函数使用起来非常简单，它只有一个指向SHFILEOPSTRUCT结构的参数。使用SHFileOperation（）函数时只要填写该专用结构--SHFILEOPSTRUCT，告诉Windows执行什么样的操作，以及其它重要信息就行了。SHFile

关于 SHFILEOPSTRUCT

蛋蛋的专栏

11-27

1万+

10个案例玩转Windows C/C++程序实战

11-06

《Windows C/C++程序实战》主讲：丁宋涛本课程立足于windows平台将windows API进行了组合应用，进行设计了10个案例对windows应用编程进行了典型案例的剖析：系统篇中将应用程序提权、windows api再封装进行了针对性的演示；网络篇结合实际需求刻画了socket+协议=网络编程的思想；最后的三个拓展性案例为后续的C++发展方向进行探讨，对于初次接触windows编程的学员提供有一定实用价值的实现案例。

怎么通过windbg来调式windows的缓存管理

05-31

filecache``命令来查看文件缓存的状态和统计信息。 - 使用``!poolused``命令来查看池分配的情况，以便检查池泄漏。 - 使用``!sysptes``命令来查看系统页表的状态。 - 使用``!vm``命令来查看系统虚拟内存的状态。 ...