Couldn't resolve error at 'ntdll!NtOpenProcess'

最新推荐文章于 2022-11-20 13:55:25 发布
最新推荐文章于 2022-11-20 13:55:25 发布
阅读量4.1k 收藏 3
点赞数 1
分类专栏: Windbg Win驱动 文章标签: Windbg 驱动 调试 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendan/article/details/46671165
版权

参考文章:

http://wingbao.blogbus.com/logs/28757738.html

http://blog.sina.com.cn/s/blog_a3e571160101iois.html

------------------------------------------------------------------------------------------------------------

刚开始用Windbg,看到网上有人敲如下命令:

u ntdll!NtOpenProcess 

我照敲之后得到如下错误:

Couldn't resolve error at 'ntdll!NtOpenProcess'

------------------------------------------------------------------------------

错误原因:

      从参考文章中得知是因为ntdll.dll属于应用层,windbg在调试内核时没有加载应用层的符号表文件,

因此也就有了错误:Couldn't resolve error at 'ntdll!NtOpenProcess'

      还有种可能的原因就是Windbg的符号表路径没有设置正确。

-----------------------------------------------------------------------------------------------------

解放方法:

      知道了错误原因,解决就简单了,让Windbg调试应用层的程序,然后我们重新载人符号表即可。

首先在虚拟机中打开应用层程序,记事本程序notepad.exe,然后按如下步骤做即可:


kd> !process 0 0 notepad.exe     //  查看进程notepad.exe信息
PROCESS 81ff0020  SessionId: 0  Cid: 01c4    Peb: 7ffde000  ParentCid: 05dc
    DirBase: 04b002a0  ObjectTable: e1a68528  HandleCount:  44.
    Image: notepad.exe


kd> .process /p 81ff0020     // 讲调试进程切换为notepad.exe
Implicit process is now 81ff0020
.cache forcedecodeuser done
kd> .reload                           // 重新载人符号表
Connected to Windows XP 2600 x86 compatible target at (Sun Jun 28 19:49:44.283 2015 (UTC + 8:00)), ptr64 FALSE
DBGHELP: nt - public symbols  
         d:\winddk\symbols_ms\ntkrnlpa.pdb\D8AAE42A2C254CF0A6DECF483D44477A1\ntkrnlpa.pdb
Loading Kernel Symbols
...............................................................
..............................................................
Loading User Symbols
............................
Loading unloaded module list
....................
SYMSRV:  ntdll.dll from http://msdl.microsoft.com/download/symbols: 281828 bytes - copied         
DBGHELP: d:\winddk\symbols_ms\ntdll.dll\4D00F28096000\ntdll.dll - OK
DBGENG:  Partial symbol load found image d:\winddk\symbols_ms\ntdll.dll\4D00F28096000\ntdll.dll.
SYMSRV:  ntdll.pdb from http://msdl.microsoft.com/download/symbols: 333688 bytes - copied         
DBGHELP: ntdll - public symbols  
         d:\winddk\symbols_ms\ntdll.pdb\CEFC0863B1F84130A11E0F54180CD21A2\ntdll.pdb


kd> u ntdll!NtOpenProcess     //  再次执行我们的命令,这下正常了吧吐舌头
ntdll!NtOpenProcess:
7c92d5fe b87a000000      mov     eax,7Ah
7c92d603 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d608 ff12            call    dword ptr [edx]
7c92d60a c21000          ret     10h
7c92d60d 90              nop
ntdll!NtOpenProcessToken:
7c92d60e b87b000000      mov     eax,7Bh
7c92d613 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d618 ff12            call    dword ptr [edx]


 

 

 

 

 

 

friendan
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
FFMPEG: Download failed: 6;"Couldn't resolve host name"
06-01
Couldn't resolve host name"”。这个错误意味着在下载或更新FFmpeg库的过程中,系统无法解析主机名,可能是网络问题、DNS配置错误或是CMake脚本中的URL问题。 首先,我们来理解这个问题的根源。在OpenCV的...
解决React在安装antd之后出现的Can't resolve './locale'问题(推荐)
10-15
然而,在安装和使用antd的过程中,有时会遇到“Can't resolve './locale'”的错误,这个问题通常是由于与moment.js库的版本冲突所导致的。在本文中,我们将深入探讨这个问题的原因,并提供一种有效的解决方案。 ...
Couldn't resolve error 的问题
静故了群动
01-14 4786
1. 若符号存在D:\pathSymbols,输入命令: .sympath SRV*d:\pathSymbols*http://msdl.microsoft.com/download/symbols 2 .[使用!sym noisy命令希望WinDBG在获得符号的时候取得更多的信息,接着使用!lmi命令让WinDBG查看Windows的ntoskrnl模块。然后使用.reload /f
WinDbg下载符号文件
Yvan Jiang的专栏
07-28 5762
文章目录一、符号文件的用处二、下载符号文件(微软官方符号服务器无法访问)三、加载用户层的符号文件参考资料 一、符号文件的用处 ...
Windows 更新导致 VirtualBox 启动失败
海风林影
04-17 1万+
我的虚拟机版本是 4.3.20, Windows 版本是 Windows 8,但今天突然发现 VirtualBox 启动不了,报的错误如下:为了搜索引擎能检索到此错误信息,我将错误信息的文本贴在下面: NtCreateFile(\Device\VBoxDrvStub) failed: Unkown Status - 5600 (0xffffea20) (rcNt=0xe986ea20) V
windbg 定位崩溃问题
diaokua8472的博客
09-27 512
三板斧如下: 使用windbg打开dump文件,设置好对应进程的 pdb 文件(这个很关键。为了避免releas优化导致符号文件错乱,我发布的所有 release 版都是关闭代码优化的)。 在windbg的"edit"->"open/close log file" 设置log 路径 “d:\a.log” 输入命令...
Android添加glide库报错Error: Failed to resolve: com.android.support:support-annotations:26.0.2的解决
08-28
然而,在实际使用Glide时,有时会出现一些问题,比如"Error: Failed to resolve: com.android.support:support-annotations:26.0.2"这样的错误。这通常意味着在项目中无法找到`support-annotations`库,这是一个重要...
解决Unable to access 'https://gitee.com/自己的项目/': Could not resolve host: gitee.com问题
10-14
主要介绍了解决Unable to access 'https://gitee.com/自己的项目/': Could not resolve host: gitee.com问题,需要的朋友可以参考下
Windbg学习18(sx和ld)
weixin_30485379的博客
05-24 227
1.sx sx* 命令用来控制被调试的程序发生某个异常或特定事件时,调试器要采取的动作 sx 命令显示当前进程的异常列表和所有非异常的事件列表,并且显示调试器遇到每个异常和事件时的行为。 sxr 命令将所有异常和事件过滤器的状态重设为默认值。命令被清除、中断和继续选项被重设为默认值,等等。 sx这个命令的输出信息可以分为三个部分: 第一部分是事件处理与相应处理模式的交互,第二部分...
virtualbox登陆虚拟机报错
weixin_53326167的博客
11-20 2678
举个例子,你可以把VS_Vbox这个目录整个复制到另外的目录(VS_Vbox2)下,然后在vbox里删除这个镜像,之后彻底删除Vbox然后重装,之后正常注册导入VS_Vbox2的镜像。在我们使用virtualbox登陆虚拟机有时候会报错,这是因为virtualbox虚拟机兼容性不太好,因此就会产生如下的报错。找到这个目录的上一级copy一份出来。2.然后再重装一下vbox之后重启。这时再登陆就应该可以正常使用了。1.把虚拟机移除了换个目录。
yum 安装时错误 Errno 14 Couldn't resolve host 解决办法
热门推荐
spyiu的专栏
05-06 14万+
在安装mlocate的时候
windbg symbols path的设置
Pipi0714的专栏
08-04 2万+
今天刚刚听到windows 内部系列的讲座,对使用windbg敢了兴趣。开始使用下载地址:http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.9.3.113.msi 按照默认开始安装直到结束开始使用(File->Kernel Debug->Local) 然后输入!process 0 0 发现出现了错误,没
windbg中显示win32k.sys调试符号
u012129783的博客
04-02 1938
windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt 在windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:...
windbg基本简单步骤
零点起步
11-08 634
源码 #include #include typedef struct _st{ int a; int b; }ST; int fun(int* p, const ST& s) { *p = s.a + s.b; return s.a } void main() { ST s; s.a = 3; s.b = 4; int ret =
windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 486
windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
26.windbg-sx、ld(设置异常处理、设置模块加载时断下)
hgy413的专栏
05-24 7090
1.sx sx* 命令用来控制被调试的程序发生某个异常或特定事件时,调试器要采取的动作 sx 命令显示当前进程的异常列表和所有非异常的事件列表,并且显示调试器遇到每个异常和事件时的行为。 sxr 命令将所有异常和事件过滤器的状态重设为默认值。命令被清除、中断和继续选项被重设为默认值,等等。 sx这个命令的输出信息可以分为三个部分: 第一部分是事件处理与相应处理模式的交互,第二部分是标准的...
Error: Core validation: ERROR:Couldn't resolve reference to FType 'int'.
最新发布
06-13
这个错误通常出现在 Common API 的 fidl 文件中,表示 FType 中引用的某个类型无法被解析。在这个具体的错误信息中,指出了无法解析 int 这个 FType 类型。 这个错误一般是由于 fidl 文件中定义的某个 FType 类型有误或者未被正确引用,导致编译器无法找到对应的类型定义。要解决这个问题,可以检查 fidl 文件中定义的类型是否正确、是否存在拼写错误等问题,或者检查引用该类型的代码是否正确引用了该类型。 需要注意的是,Common API 中的 FType 类型是抽象的类型,不是任何一种具体编程语言中的类型,因此在使用时需要按照 Common API 中的规范来定义和引用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

friendan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值