3.windbg-!pte转换地址(ring0)

最新推荐文章于 2018-07-31 15:02:13 发布
最新推荐文章于 2018-07-31 15:02:13 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: windbg 文章标签: winapi null buffer thread system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/7425750
版权

1.取得DirBase

kd> !process  0 0 test.exe
PROCESS 89ed6170  SessionId: 0  Cid: 0558	Peb: 7ffd9000  ParentCid: 0744
	DirBase: 0a7c0340  ObjectTable: e1e6b5a8  HandleCount:  15.
	Image: test.exe

2. 切换到指定进程

使用.process /i /p 89ed6170 注意一定要加/i
然后使用.process确认内核已切换到89ed6170 这个进程
然后!pte va即可!
给个清晰的示意图:


3.pfn对应详解



而!pfn更快:

kd> !pfn 806aeffc
PFN 006AEFFC at address 8C9B6F90//006AEFFC 为806aeffc的物理地址
flink 00000000 blink / share count 00000000 pteaddress 00000000
reference count 0000 NonCached color 0
restore pte 00000000 containing page 000000 Zeroed
kd> !pte 806aeffc
VA 806aeffc
PDE at 00000000C0602018 PTE at 00000000C0403570
contains 00000000006001E3 contains 0000000000000000
pfn 600 -GLDA–KWEV LARGE PAGE pfn 6ae
kd> db 806aeffc
806aeffc 00 00 00 00 00 00 00 00-00 00 00 00 4a 77 1d 00 …………Jw..
806af00c 2c 06 00 00 4c 70 1d 00-00 00 00 00 00 00 00 00 ,…Lp……….
806af01c 0e 78 1d 00 00 06 00 00-7c 71 1d 00 00 00 00 00 .x……|q……
806af02c 00 00 00 00 a6 78 1d 00-30 07 00 00 00 00 00 00 …..x..0…….
806af03c 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 …………….
806af04c e8 77 1d 00 d4 77 1d 00-c2 77 1d 00 ae 77 1d 00 .w…w…w…w..
806af05c a2 77 1d 00 8a 77 1d 00-72 77 1d 00 60 77 1d 00 .w…w..rw..`w..
806af06c 52 77 1d 00 f8 77 1d 00-00 00 00 00 9e 72 1d 00 Rw…w…….r..
kd> !db 006AEFFC
# 6aeffc 00 00 00 00 00 00 00 00-00 00 00 00 4a 77 1d 00 …………Jw..




花熊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windbg常用命令备忘
m0_46256056的博客
07-07 2051
Windbg常用命令备忘 windbg是一款微软推出的专业实用的源码调试工具软件。 1、符号表下载方法:使用命令下载对应的符号表symchk /r c:\windows\system32\k* /s SRV*c:\symbols\*https://msdl.microsoft.com/download/symbols,然后就能在c:\symbols目录下得到对应dll的符号表; 2、windbg调试windows内核的设置: (1)vmware设置,删除打印机,添加串口,命名为\.\pipe\comdbg
windbg常用命令
qq_41490873的博客
06-22 736
!pool +va 可以分析出一个地址是不是通过ExAllocatePool分配的 以及是分页内存还是非分页内存 ba e1 +va 硬件断点 dps rsp 查看堆栈 会显示出相应的函数名 !pte + va 可以找出一个虚拟地址pte 通过PTE知道这个地址读写以及可执行属性 !address +va 获得虚拟地址所在区域 .thread 列出当前线程结构体 !thread 当前线程信息 dt _KTHREAD TrapFrame+ 结构体地址 可以
windbg修改notepad内容(!pte/!dd/.process/s命令)
lixiangminghate的专栏
11-08 2916
在高端调试论坛上看到有人调试calc.exe的,我也依样画葫芦调试notepad.exe:定位notepad.exe缓存所在的物理页面进而修改文本内容。     文本原有的内容如下:     目前windbg正在调试内核,调试器不在notepad.exe进程上下文中,为了达到目的,需要枚举系统中的进程并切换到notepad.exe !process 0 0 ;枚举系统所有进程 Fai
windbg由虚拟地址查找对应物理地址(内核调试)
wesley2005的专栏
07-31 1827
(1)虚拟地址通过pte指令,找到pfn 假设虚拟地址为0xfffff880`00d5e9e0 0: kd> !pte 0xfffff880`00d5e9e0                                            VA fffff88000d5e9e0 PXE at FFFFF6FB7DBEDF88    PPE at FFFFF6FB7DBF1000  ...
windbg-order.rar_windbg
09-20
Windbg是一款强大的Windows调试工具,尤其在系统崩溃分析、驱动程序调试和性能优化等方面有着广泛的应用。本压缩包“windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档“windbg ...
windbg调试工具windbg-10.0.18.zip
10-24
3. **调试符号支持**:Windbg支持微软的公共符号服务器,能自动下载和使用符号文件,这使得在调试时能获得更准确的源代码级信息。 4. **命令行接口**:Windbg拥有强大的命令行接口,用户可以通过输入各种调试命令来...
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
windbg-info:与使用和改进windbg相关的链接的集合
05-12
windbg信息 该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列表中。 WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析...
WinDbg preview 1.2103.1004.0 版本,亲测可用
12-01
WinDbg Preview 1.2103.1004.0 是一款强大的调试工具,主要用于Windows系统下的软件调试,尤其是对系统崩溃、蓝屏(BSOD)问题的诊断。该版本是我亲自测试并确认可以正常运行的,意味着用户可以信赖这个版本的功能和...
ring3进入ring0跟踪调试
04-11
ring3进入ring0跟踪调试
开始进军ring0
jizhongqing的专栏
10-27 777
       决定来决定去还是避免不了ring0,做安全这行离不开这东西,硬着头皮上吧。。。  环境配置:1. 符号下载:这是很重要的一步,没有符号windbg产生的东西实在没法看如果每次调试时由windbg自动下载太慢了,我的选择是利用windbg附带的一个工具symchk.exe一次性把所有系统文件的符号文件全部下载完! 把下面的内容写入一个bat,省得忘记,每次都msdn
windbg实现虚拟地址到物理地址转换(Converting Virtual Addresses to Physical Addresses)
Stay Hungry , Stay Foolish
06-12 4026
原文地址:http://blog.csdn.net/hjl243632044/article/details/7656685         本文将用一个小例子说明如何在32位cpu下手工将虚拟地址转换内存中的物理地址。(32位xp下测试通过,32位win7不知何因就是不行。大牛若知,请指点,不胜感激。)         首先补充下理论知识:         验证思
跟踪 Ring3 - Ring0 的执行流程
11:00 啦
08-22 3398
理论知识SYSENTER 指令是在 Inter Pentium(R) Ⅱ 处理器上作为“快速系统调用”功能的一部分被首次引用的。 SYSENTER 指令进行过专门的优化,能够以最佳性能由 Ring3 层切换到 Ring0 层。 微软首次引用 SYSENTER 指令是在 Windows 2000 的系统上,再次之前微软的系统是通过自陷指令 int 0x2E 进入 Ring0 层的系统空间的。 在
MTK平台usb异常引发的内核崩溃解决方案
kevin's cache的专栏
05-17 2539
    硬件平台:MTK6797    软件版本:Android6.0    问题描述:我司的硬件方案比较个别,采用了6797,具体是应用了usb转以太网口作为服务器的功能。由于硬件方案商的疏忽,我们的usb1.0接了亚信千兆的usb转以太网的芯片,虽然usb1.0很大程度上限制了网卡芯片的性能,但是时间考虑,就先这样使用了,但是,从此,开始了修复usb问题的漫漫道路。。。    最开始发现问题的...
Ring3转入Ring0跟踪
曾是土木人
06-26 3004
通过反汇编跟踪一个API函数从Ring3层到Ring0层的具体执行过程,有助于我们加深对相关内核Hook技术的理解。 我们可以使用OD打开notepad.exe程序,对CreateFileW下断后,可以发现,有这样一行代码: CALL DWORD PTR DS:[>; ntdll.ZwCreateFile 也就是说,CreateFileW(Win32API)实际上是调用了ntdll中的NtC
windbg内核模式调试用户态程序
lwglucky的专栏
03-24 5480
  windbg 如何再内核模式调试用户空间的程序 收藏 1:使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0 **** NT ACTIVE PROCESS DUMP ****     PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000     DirBase: 0000
windbg -xe cpr 1.exe 这个命令行是什么意思
最新发布
06-13
这个命令行是在使用Windbg调试器来运行名为1.exe的程序,并在程序运行过程中监视和记录CPU寄存器的内容。具体来说,-xe参数指定了要监视的内容,这里是cpr,表示要监视CPU的所有寄存器。1.exe是要运行的程序的名称。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值