windows用户态调试

最新推荐文章于 2023-08-12 14:18:18 发布
最新推荐文章于 2023-08-12 14:18:18 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 杂谈 debug 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hb_zxl/article/details/116562103
版权

windows用户态调试

打开windows的记事本小程序,windbg attach到这个进程,发现notepad不能动了,这是用户态调试的特点:
进入调试模式,应用程序所有线程都处于freeze状态
观察一下线程状态: 会看到有6个线程。
0:006> ~*
   0  Id: 1de4.1f6c Suspend: 1 Teb: 000007ff`fffdc000 Unfrozen
      Start: notepad!WinMainCRTStartup (00000000`ff683acc)
      Priority: 0  Priority class: 32  Affinity: 3
   1  Id: 1de4.2228 Suspend: 1 Teb: 000007ff`fffda000 Unfrozen
      Start: winhadnt64!DelPassthru+0x15a0 (000007fe`f5d5fab0)
      Priority: 0  Priority class: 32  Affinity: 3
   2  Id: 1de4.1ca4 Suspend: 1 Teb: 000007ff`fffd8000 Unfrozen
      Start: ntdll!TppWaiterpThread (00000000`76ff31e0)
      Priority: 0  Priority class: 32  Affinity: 3
   3  Id: 1de4.2070 Suspend: 1 Teb: 000007ff`fff9e000 Unfrozen
      Start: SOGOUPY!ImeDestroy+0x3ec204 (000007fe`f2393a44)
      Priority: 0  Priority class: 32  Affinity: 3
   4  Id: 1de4.13c0 Suspend: 1 Teb: 000007ff`fff9c000 Unfrozen
      Start: SOGOUPY!ImeDestroy+0x3ec204 (000007fe`f2393a44)
      Priority: 0  Priority class: 32  Affinity: 3
   5  Id: 1de4.217c Suspend: 1 Teb: 000007ff`fff9a000 Unfrozen
      Start: SOGOUPY!ImeDestroy+0x3ab110 (000007fe`f2352950)
      Priority: 0  Priority class: 32  Affinity: 3
.  6  Id: 1de4.1dc8 Suspend: 1 Teb: 000007ff`fffd6000 Unfrozen
      Start: ntdll!DbgUiRemoteBreakin (00000000`770d9470)
      Priority: 0  Priority class: 32  Affinity: 3
大部分线程不知所云,0号线程看着亲切,查看0号线程:
0:006> ~0k
 # Child-SP          RetAddr           Call Site
00 00000000`001afa08 00000000`76dd9d7e USER32!NtUserGetMessage+0xa
01 00000000`001afa10 00000000`ff681064 USER32!GetMessageW+0x34
02 00000000`001afa40 00000000`ff68133c notepad!WinMain+0x182
03 00000000`001afac0 00000000`76ed556d notepad!DisplayNonGenuineDlgWorker+0x2da
04 00000000`001afb80 00000000`7703372d kernel32!BaseThreadInitThunk+0xd
05 00000000`001afbb0 00000000`00000000 ntdll!RtlUserThreadStart+0x1d
WinMain说明是windows的主函数,GetMessageW 说明是在等windows消息。看来这个线程是主处理函数。
还有个6号线程,比较关键,DbgUiRemoteBreakin好像是远程中断的意思。我们分析一下:
0:006> u
ntdll!DbgBreakPoint:
00000000`7704b0f0 cc              int     3
00000000`7704b0f1 c3              ret
00000000`7704b0f2 cc              int     3
00000000`7704b0f3 cc              int     3
00000000`7704b0f4 cc              int     3
00000000`7704b0f5 cc              int     3
反汇编发现是int 3中断
0:006> r
rax=000007fffffd6000 rbx=0000000000000000 rcx=000007fffffde000
rdx=00000000770d9470 rsi=0000000000000000 rdi=0000000000000000
rip=000000007704b0f0 rsp=0000000006b5fda8 rbp=0000000000000000
 r8=0000000000000000  r9=00000000770d9470 r10=0000000000000000
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei pl zr na po nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000244
ntdll!DbgBreakPoint:
00000000`7704b0f0 cc              int     3
r命令观察现场,也是执行int 3
调试器中断被调试程序,会在被调试程序中创建一个线程,叫做远程中断线程RemoteBreakin,就是这个6号线程。
这个线程的作用就是触发一个int3, 被调试程序中本来没有这个线程,调试器通过windows的RemoteCreateThread在notepad中创建了这个线程。
int3中断会调用到内核,内核就会将notepad的所有thread都 freeze,程序就停下来了。
要恢复运行,就执行g命令,调试器执行continue debug event,notepad恢复运行。

像上次研究winmine小程序,这次再观察一下readfile在notepad中的调用。
0:006> x ntdll!*readfile*
00000000`770acce0 ntdll!ResReadFile (<no parameter info>)
00000000`7708f020 ntdll!LdrpResReadFile (<no parameter info>)
00000000`77049800 ntdll!ZwReadFile (<no parameter info>)
00000000`77049a80 ntdll!NtReadFileScatter (<no parameter info>)
00000000`77049a80 ntdll!ZwReadFileScatter (<no parameter info>)
00000000`77049800 ntdll!NtReadFile (<no parameter info>)
0:007> bp ntdll!ZwReadFile

然后很开命中了
0:000> k
 # Child-SP          RetAddr           Call Site
00 00000000`001cced8 000007fe`fcb51a6a ntdll!ZwReadFile
01 00000000`001ccee0 00000000`76ed0599 KERNELBASE!ReadFile+0x76
02 00000000`001ccf60 000007fe`f5d1ed8e kernel32!ReadFileImplementation+0x55
03 00000000`001ccfa0 000007fe`f5a6a7af winhadnt64!INJUninstallDetours+0xaa1fe
04 00000000`001cd0a0 000007fe`f20800f2 DtFrame64!EATUninstallRaw+0x18f2f
05 00000000`001cd140 000007fe`f2082b76 SOGOUPY!ImeDestroy+0xd88b2
06 00000000`001cd190 000007fe`f2087116 SOGOUPY!ImeDestroy+0xdb336
07 00000000`001cd1d0 000007fe`f206ef4f SOGOUPY!ImeDestroy+0xdf8d6
08 00000000`001cd600 000007fe`f206901c SOGOUPY!ImeDestroy+0xc770f
09 00000000`001cdbf0 000007fe`f208d6ee SOGOUPY!ImeDestroy+0xc17dc
0a 00000000`001cdc20 000007fe`f208da6a SOGOUPY!ImeDestroy+0xe5eae
0b 00000000`001cde10 000007fe`f1fb1cc0 SOGOUPY!ImeDestroy+0xe622a
0c 00000000`001cdea0 000007fe`f203d132 SOGOUPY!ImeDestroy+0xa480
0d 00000000`001ce3b0 000007fe`f203c8b0 SOGOUPY!ImeDestroy+0x958f2
0e 00000000`001ce4b0 000007fe`f203cabb SOGOUPY!ImeDestroy+0x95070
0f 00000000`001ce500 000007fe`f203c3a9 SOGOUPY!ImeDestroy+0x9527b
10 00000000`001ce780 00000000`76dd9ac1 SOGOUPY!ImeDestroy+0x94b69
11 00000000`001ce7e0 00000000`76dd694c USER32!UserCallWinProcCheckWow+0x1ad
12 00000000`001ce8a0 00000000`76dd3cd6 USER32!SendMessageWorker+0x682
13 00000000`001ce930 00000000`76dd3e56 USER32!SendMessageToUI+0x6a
原来是搜狗拼音的钩子进程,影响了我调试notepad
这个搜狗拼音只要一打开窗口就会读文件

uninstall the sougoupin, attach the notepad process
0:000> k
 # Child-SP          RetAddr           Call Site
00 00000000`000ddf38 00000000`76f167d8 ntdll!ZwReadFile
01 00000000`000ddf40 00000000`76f163bf kernel32!BaseDllOpenIniFileOnDisk+0x338
02 00000000`000de030 00000000`76f162d9 kernel32!BaseDllReadWriteIniFileOnDisk+0x3f
03 00000000`000de070 00000000`76f914f2 kernel32!BaseDllReadWriteIniFile+0xe9
04 00000000`000de250 00000000`76f9165d kernel32!GetPrivateProfileStringA+0x62
05 00000000`000de2b0 000007fe`f3392280 kernel32!GetPrivateProfileIntA+0x3d
06 00000000`000de410 000007fe`fb415504 MsftEdit!CreateTextServices+0x2f1
07 00000000`000de4a0 000007fe`fb00a61f explorerframe!CSearchEditBox::OnHosted+0xf2
08 00000000`000de510 000007fe`fb007adb DUI70!DirectUI::Element::OnHosted+0xb5
09 00000000`000de560 000007fe`fb0036da DUI70!DirectUI::Element::OnPropertyChanged+0xa1e
0a 00000000`000de5f0 000007fe`fb009c05 DUI70!DirectUI::Element::_PostSourceChange+0x27a
0b 00000000`000de650 000007fe`fb009a84 DUI70!DirectUI::Element::Insert+0x42c
0c 00000000`000de6e0 000007fe`fb00a80b DUI70!DirectUI::Element::Add+0x6c
0d 00000000`000de710 000007fe`fb00a8a8 DUI70!DirectUI::DUIParsePlayer::_AddArgs+0x4b
0e 00000000`000de760 000007fe`fb00a765 DUI70!DirectUI::DUIParsePlayer::CreateElement+0x227
0f 00000000`000de7e0 000007fe`fb415a59 DUI70!DirectUI::DUIXmlParser::CreateElement+0x1b3
10 00000000`000de850 000007fe`fb415931 explorerframe!DUI_CreateElementFromResource+0x65
11 00000000`000de8a0 000007fe`fb415c29 explorerframe!CSearchBoxDUIHost::Create+0xc1
12 00000000`000de8f0 000007fe`fb437a0e explorerframe!CSearchBox::Initialize+0x1c3
13 00000000`000de9d0 000007fe`fb4200af explorerframe!CUniversalSearchBand::_Initialize+0x15e
14 00000000`000dea90 000007fe`fd3aae99 explorerframe!CUniversalSearchBand::SetSite+0x67
15 00000000`000deac0 000007fe`fb417144 SHLWAPI!IUnknown_SetSite+0x55
16 00000000`000deb10 000007fe`fb417209 explorerframe!CBandSite::_AddBandByID+0xb2
17 00000000`000deb40 000007fe`fb4372f6 explorerframe!CBandSite::AddBand+0x19
18 00000000`000deb70 000007fe`fb43681a explorerframe!CNavBar::_CreateBands+0x21a
19 00000000`000dec40 000007fe`fb436672 explorerframe!CNavBar::_CreateBar+0x149
1a 00000000`000ded80 000007fe`feb05e84 explorerframe!CNavBar::ShowDW+0x1e
1b 00000000`000dedb0 000007fe`feb05503 COMDLG32!CFileOpenSave::_CreateNavigationBar+0xcc
1c 00000000`000dedf0 000007fe`feb056a2 COMDLG32!CFileOpenSave::_InitOpenSaveDialog+0x8f4
1d 00000000`000df120 00000000`76e35f0f COMDLG32!CFileOpenSave::s_OpenSaveDlgProc+0x12b
1e 00000000`000df410 00000000`76e3760e USER32!UserCallDlgProcCheckWow+0x15f
1f 00000000`000df4d0 00000000`76e3753e USER32!DefDlgProcWorker+0xf1
20 00000000`000df550 00000000`76e29ac1 USER32!DefDlgProcW+0x36

打开反汇编窗口,可以看到syscall,这是调用内核函数,用户态调试无法跟踪到

也可以通过条件断点察看notepad调用readfile的情况:
0:001> bp ntdll!ZwReadFile ".echo***hello readfile is being invoked***;k;gc"
0:001> g
***hello readfile is being invoked***
 # Child-SP          RetAddr           Call Site
00 00000000`02c3f5b8 000007fe`fcaf8976 ntdll!ZwReadFile
01 00000000`02c3f5c0 00000000`76f20599 KERNELBASE!ReadFile+0x112
02 00000000`02c3f640 000007fe`f5bfa671 kernel32!ReadFileImplementation+0x55
03 00000000`02c3f680 000007fe`f5f84ee1 DtFrame64!EATUninstallRaw+0x18df1
04 00000000`02c3f720 000007fe`f5f85278 winhadnt64!TSetLogConfig+0x65001
05 00000000`02c3f7a0 000007fe`f5f85f07 winhadnt64!TSetLogConfig+0x65398
06 00000000`02c3f800 000007fe`f5e95c94 winhadnt64!TSetLogConfig+0x66027
07 00000000`02c3f8d0 000007fe`f5f10380 winhadnt64!INJUninstallDetours+0x71104
08 00000000`02c3f9c0 00000000`76f2556d winhadnt64!DelPassthru+0x1e70
09 00000000`02c3fb20 00000000`7708372d kernel32!BaseThreadInitThunk+0xd
0a 00000000`02c3fb50 00000000`00000000 ntdll!RtlUserThreadStart+0x1d
***hello readfile is being invoked***
 # Child-SP          RetAddr           Call Site
00 00000000`02c3f618 000007fe`fcaf8976 ntdll!ZwReadFile
01 00000000`02c3f620 00000000`76f20599 KERNELBASE!ReadFile+0x112
02 00000000`02c3f6a0 000007fe`f5bfa671 kernel32!ReadFileImplementation+0x55
03 00000000`02c3f6e0 000007fe`f5f84ee1 DtFrame64!EATUninstallRaw+0x18df1
04 00000000`02c3f780 000007fe`f5f85fb2 winhadnt64!TSetLogConfig+0x65001
05 00000000`02c3f800 000007fe`f5e95c94 winhadnt64!TSetLogConfig+0x660d2
06 00000000`02c3f8d0 000007fe`f5f10380 winhadnt64!INJUninstallDetours+0x71104
07 00000000`02c3f9c0 00000000`76f2556d winhadnt64!DelPassthru+0x1e70
08 00000000`02c3fb20 00000000`7708372d kernel32!BaseThreadInitThunk+0xd
09 00000000`02c3fb50 00000000`00000000 ntdll!RtlUserThreadStart+0x1d
***hello readfile is being invoked***
 # Child-SP          RetAddr           Call Site
00 00000000`02c3f5e8 000007fe`fcaf8976 ntdll!ZwReadFile
01 00000000`02c3f5f0 00000000`76f20599 KERNELBASE!ReadFile+0x112
02 00000000`02c3f670 000007fe`f5bfa671 kernel32!ReadFileImplementation+0x55
03 00000000`02c3f6b0 000007fe`f5f84ee1 DtFrame64!EATUninstallRaw+0x18df1
04 00000000`02c3f750 000007fe`f5f86352 winhadnt64!TSetLogConfig+0x65001
05 00000000`02c3f7d0 000007fe`f5f80de0 winhadnt64!TSetLogConfig+0x66472
06 00000000`02c3f800 000007fe`f5f80ce1 winhadnt64!TSetLogConfig+0x60f00
07 00000000`02c3f890 000007fe`f5e95d16 winhadnt64!TSetLogConfig+0x60e01
08 00000000`02c3f8d0 000007fe`f5f10380 winhadnt64!INJUninstallDetours+0x71186
09 00000000`02c3f9c0 00000000`76f2556d winhadnt64!DelPassthru+0x1e70
0a 00000000`02c3fb20 00000000`7708372d kernel32!BaseThreadInitThunk+0xd
0b 00000000`02c3fb50 00000000`00000000 ntdll!RtlUserThreadStart+0x1d
***hello readfile is being invoked***
 # Child-SP          RetAddr           Call Site
00 00000000`02c3f668 000007fe`fcaf8976 ntdll!ZwReadFile
01 00000000`02c3f670 00000000`76f20599 KERNELBASE!ReadFile+0x112
02 00000000`02c3f6f0 000007fe`f5bfa671 kernel32!ReadFileImplementation+0x55
03 00000000`02c3f730 000007fe`f5f84ee1 DtFrame64!EATUninstallRaw+0x18df1
04 00000000`02c3f7d0 000007fe`f5f85e61 winhadnt64!TSetLogConfig+0x65001
05 00000000`02c3f850 000007fe`f5f816d5 winhadnt64!TSetLogConfig+0x65f81
06 00000000`02c3f8c0 000007fe`f5f24f61 winhadnt64!TSetLogConfig+0x617f5
07 00000000`02c3f8f0 000007fe`f5f1038c winhadnt64!TSetLogConfig+0x5081
08 00000000`02c3f9c0 00000000`76f2556d winhadnt64!DelPassthru+0x1e7c
09 00000000`02c3fb20 00000000`7708372d kernel32!BaseThreadInitThunk+0xd
0a 00000000`02c3fb50 00000000`00000000 ntdll!RtlUserThreadStart+0x1d

重启动notepad还可以观察到一些调试事件:
.restart /f
0:000> k
 # Child-SP          RetAddr           Call Site
00 00000000`001ff1b0 00000000`77064701 ntdll!LdrpDoDebuggerBreak+0x30
01 00000000`001ff1f0 00000000`770c96e0 ntdll!LdrpInitializeProcess+0x1b51
02 00000000`001ff6e0 00000000`7707373e ntdll! ?? ::FNODOBFM::`string'+0x22770
03 00000000`001ff750 00000000`00000000 ntdll!LdrInitializeThunk+0xe
会进入早期的端点:LdrpInitializeProcess 这是在程序的初始化阶段
0:000> sxe ld
意思是加载模块时通知调试器,g看看效果
0:000> g
ModLoad: 000007fe`fdad0000 000007fe`fdafe000   C:\Windows\system32\IMM32.DLL
ntdll!ZwMapViewOfSection+0xa:
00000000`77099a2a c3              ret
0:000> g
ModLoad: 000007fe`fcdb0000 000007fe`fcebb000   C:\Windows\system32\MSCTF.dll
ntdll!ZwMapViewOfSection+0xa:
00000000`77099a2a c3              ret
0:000> g
ModLoad: 000007fe`f5e10000 000007fe`f62bf000   C:\Windows\system32\winhadnt64.dll
ntdll!ZwMapViewOfSection+0xa:
00000000`77099a2a c3              ret
0:000> g
ModLoad: 000007fe`f5df0000 000007fe`f5e08000   C:\Windows\system32\MPR.dll
ntdll!ZwMapViewOfSection+0xa:
00000000`77099a2a c3              ret
0:000> g
ModLoad: 000007fe`fd350000 000007fe`fd39d000   C:\Windows\system32\WS2_32.dll
ntdll!ZwMapViewOfSection+0xa:
00000000`77099a2a c3              ret
每次加载模块都通知调试器,g了十几次,说明我的机器上加载的无用模块很多,有些不知道名字。
通过学习事件通知机制,说明windows内核对调试的很给力的支持.windows对调试支持很友好

windows用户程序高效排错
07-13
在分析这篇关于Windows用户程序高效排错的文章之前,需要了解在Windows操作系统下进行用户程序的排错是一个复杂的过程。用户程序是指运行在用户模式下的程序,它与运行在内核的驱动程序或系统服务不同,用户...
ntsd.exe 用户进程调试工具
07-10
ntsd是一个用户进程调试工具,从Windows 2000就开始被附随在System32目录下。它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序。但在Windows Vista及以上版本的Windows中不含...
Windows软件调试学习笔记(三)—— 调试事件的处理
qq_41988448的博客
07-29 1327
软件调试学习笔记(三)—— 调试事件的处理要点回顾调试事件的处理实验一:实现简单调试器(创建进程)实验二:分析异常来源实验三:实现简单调试器(附加进程)实验四:分析NtDebugActiveProcess总结 要点回顾 当调试器与被调试进程建立连接后,调试器与被调试进程关系如下图所示 被调试进程产生调试事件时,会有专门的API对调试事件进行捕获,并写入调试事件链表当中。 调试器不断检索调试事件链表,不断从调试事件链表中取出调试事件并进行处理。 调试事件的处理 调试调试目标进程步骤: 关联(创建进程
[转]windows程序员进阶系列:《软件调试》之O--- WinDbg使用介
comhaqs的专栏
03-06 1224
原帖地址:http://blog.csdn.net/ithzhang/article/details/8630429                         windows程序员进阶系列:《软件调试》之O--- WinDbg使用介绍      拥有一个顺手的武器是每一个武林高手梦寐以求的。对于windows程序员来说,WinDbg调试器就是我们的武器。熟练使用调试器能大大提高我们的
KnownDll Herpaderping实现无文件进程注入
最新发布
dzqxwzoe的博客
08-12 349
本文是对 Windows Process Injection: KnownDlls CachePoisoning的整理学习,并与Herpadering技术结合实现无文件注入。
windbg-!cs、~~[TID](经典死锁)
因热爱而执着,因执着而成功。
04-08 882
最近自己写程序遇到了死锁的问题,看了网上网友的文章写的很好,转载过来,作为一个学习的方向 原文链接https://blog.csdn.net/hgy413/article/details/7572097#comments,这位大神对windbg和汇编都有很多优秀的原创文章 先上个代码,自己随手写的: #include <windows.h > CRITICAL_SECTION cs1; CRITICAL_SECTION cs2; D...
吾爱破解160个crackme之004
foyjog的研究生涯
08-02 1198
这个crackme我做了一阵子,一直没有出结果,所以看了一下 http://blog.csdn.net/liwz11/article/details/50717038 的帖子,根据dede的作用其实已经找出了keyup的chkcode代码,但是因为本人用的是x32dbg调试,发现存在着一些问题,导致分析的时候不是很清楚。 问题如下:00457C2B | FF 0F
使用windbg挖地雷直接取胜
hb_zxl的专栏
05-12 371
使用windbg挖地雷直接取胜 前面一篇文章探讨了如何直接明挖地雷,通过windbg修改了雷区就可以了. 这次我们更直接,看看如何通过函数飞针直接取胜. 使用windbg直接打开winmine.exe 先运行起来:g 共99个雷. 先看如何把雷个数改为0, break这个程序. 用x命令显示所有符号 0:005> x winmine!* 01001004 winmine!_imp__RegSetValueExW = <no type information> 0100511..
windbg学习----初始断点
weixin_30278311的博客
10-09 217
ntdll!LdrpDoDebuggerBreak+0x2c: 7757054e cc int 3 0:000> kv ChildEBP RetAddr Args to Child 0030f3c8 77550e00 7ffdf000 7ffd3000 775a714c ntdll!LdrpDoDebuggerBreak...
Windows用户调试器原理
06-09
Windows用户调试器是一种工具,它可以用来调试运行在Windows操作系统用户的应用程序。它的原理是通过安装一个调试器驱动程序,来截获和处理应用程序的调试事件。 当一个应用程序运行时,它会向Windows操作系统...
Windows用户程序调试攻略:思路与案例分析
"Windows用户程序高效排错:调试方法与实战案例" 本文是关于Windows系统用户模式下程序调试的专业指南,作者通过丰富的经验总结了一系列实用的思路、技巧和案例,旨在帮助开发者更高效地解决程序中的错误和问题。...
Windows 8的用户模式Shim Engine小探及利用
dengliang7440的博客
03-29 910
转载:https://bbs.pediy.com/thread-175483.htmWindows Shim Engine,即Windows 兼容性模式实现引擎,在exe文件的属性对话框中有一个兼容性选项卡,用户可设置此exe程序完美工作的系统版本,Windows会尝试模拟老的系统环境运行此程序。那Windows是如何模拟的呢?Windows认为老程序出问题的原因在于它们调用的API上,...
JIT的初始断点
Viper的专栏
02-16 889
<br />上网好好的,忽然IE Crash了,windbg作为JIT被自动启动起来,下意识的输入!runaway, ~* kv查看,发现所有的线程都在ntdll!KiFastSystemCallRet,也就是在内核中,一时间很奇怪,那IE怎么crash的?带着这个问题,中饭都没吃好。<br /> <br />苦思了很久之后,一下子顿悟了。当时的断点应该是初始断点,也就是ntdll!DbgUiRemoteBreakin,而真正的罪魁祸首应该还需要再g一下,跳过这个无意义的初始断点,虽然当时的IE已经没了,幸
一个不兼容的软件尝试与microsoft edge
热门推荐
csdnlizhihao的博客
01-12 5万+
一个不兼容的软件尝试与 Microsoft Edge一起加载。尽管这种问题通常由过期的程序所致,但也可能是由恶意软件引起的。建议安装最新版本的程序,并且确保反恶意软件的运行和及时更新。 文件:C:\Windows\System32\WINHAFNT64.DLL 错误代码:STATUS_INVALID_IMAGE_HASH 原因:Google启用了Renderer Code Integrity Protection(渲染器代码完整性保护)功能,会阻止签名不是谷歌和微软的模块加载。 解决办法 打开注册表,进入
从DllMain下断点到LdrpCallInitRoutine
lixiangminghate的专栏
04-27 1880
windbg中有个sxe命令,用于启动某类事件上的调试中断。例如 sxe ld:kernel32.dll可以在exe加载kernel32.dll时中断到调试器。不过,一般情况下,exe无法捕获kernel32.dll加载的事件。因为当windbg启动捕获到ibp事件(初始断点 )而中断到调试器后,exe启动时所依赖的dll都已加载完毕(包括kernel32.dll)。如下面的清单,当windb
神奇的记事本
Viper的专栏
10-08 5921
最初发表在我的QQ空间,见:http://user.qzone.qq.com/31731705/blog/1317393693 记事本是Windows系统上的老程序了,它的历史几乎和Windows一样久,其实,平凡的它也是一个神奇的程序。在Win7上,将c:\windows\s
DllMain中不当操作导致死锁问题的分析--导致DllMain中死锁的关键隐藏因子
方亮的专栏
11-05 7270
        有了前面两节的基础,我们现在切入正题:研究下DllMain为什么会因为不当操作导致死锁的问题。首先我们看一段比较经典的“DllMain中死锁”代码。(转载请指明出于breaksoftware的csdn博客) //主线程中 HMODULE h = LoadLibraryA(strDllName.c_str());   // DLL中代码 static DWORD WINA...
Process Initiation
05-11 1927
OverviewTaking a simple C program, we look at its initiation using NTSD. There are four segments to the programs life cycle: Loading until the NTSDs entry breakpoint. From the entry b
Windbg调试命令详解(3)
张佩的技术库
10-08 6335
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程列
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值