1.windbg script-.enumtag扩展插件

最新推荐文章于 2018-06-21 16:45:00 发布
最新推荐文章于 2018-06-21 16:45:00 发布
阅读量1.7k 收藏
点赞数
分类专栏: windbg engine
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/8506053
版权

我们可以在dump中二次数据中写入模块的基本信息,再通过.enumtag读出二次数据,再解析数据内容

但是.enumtag只是显示了数据的内存,解析还需要我们另写工具,所以可以考虑通过扩展插件来实现以下功能:
1.读取指定guid的数据,并解析数据,再显示到windbg(demo只是演示了取出数据,并打印到windbg上)
2.枚举所有的guid,并显示出来
使用了以下函数:

HRESULT
  IDebugDataSpaces3::ReadTagged(
	IN LPGUID  Tag,
	IN ULONG  Offset,
	OUT OPTIONAL PVOID  Buffer,
	IN ULONG  BufferSize,
	OUT OPTIONAL PULONG  TotalSize
	);

读取指定GUID中的数据

HRESULT
  IDebugDataSpaces3::StartEnumTagged(
	OUT PULONG64  Handle
	);

注意,仅IDebugDataSpaces3支持,不要写错!

HRESULT
  IDebugDataSpaces3::GetNextTagged(
	IN ULONG64  Handle,
	OUT LPGUID  Tag,
	OUT PULONG  Size
	);
Handle为StartEnumTagged传入,返回GUID和大小,S_OK 表示获取成功:
示例代码: 

HRESULT CALLBACK hgytest(PDEBUG_CLIENT pDebugClient, PCSTR args)
{
	UNREFERENCED_PARAMETER(args);
 
	IDebugDataSpaces3* pDataSpaces = NULL;//注意只有3支持
	if (SUCCEEDED(pDebugClient->QueryInterface(__uuidof(IDebugDataSpaces3), (void **)&pDataSpaces)))
	{
		// 查询指定GUID
		GUID MyGuid = {0};
		CHAR*  RawData = new CHAR[4096];//分配4096大小来取
		memset(RawData, 0x00, 4096);
		ULONG ulSize = 0;//实际大小
		IDebugControl* pDebugControl = NULL;
		if (SUCCEEDED(pDataSpaces->ReadTagged(&MyGuid,  0,  RawData, 4096,  &ulSize)))
		{
			if (SUCCEEDED(pDebugClient->QueryInterface(__uuidof(IDebugControl4), (void **)&pDebugControl)))
			{
				char szSize[50] = {0};
				sprintf(szSize, "%d-size for hgy", ulSize);
				PrintHexDump(szSize, NULL, RawData, ulSize,pDebugControl);
 
				pDebugControl->Release();
				pDebugControl = NULL;
			}
 
		}
		delete[] RawData;
		RawData = NULL;
 
		//  枚举GUID
		ULONG64  handle = NULL;
		if (SUCCEEDED(pDataSpaces->StartEnumTagged(&handle)))
		{
			if (SUCCEEDED(pDebugClient->QueryInterface(__uuidof(IDebugControl4), (void **)&pDebugControl)))
			{
				GUID tagGUID = {0};
				ULONG szDataSize = 0;
				while (S_OK == pDataSpaces->GetNextTagged(handle, &tagGUID, &szDataSize))//注意,这里使用S_OK
				{
					CHAR szBuf[MAX_PATH] = {0};
					sprintf(szBuf, "GUID:{%08X-%04X-%04x-%02X%02X-%02X%02X%02X%02X%02X%02X},size:0x%08x\n",
						tagGUID.Data1,tagGUID.Data2,tagGUID.Data3,tagGUID.Data4[0],
						tagGUID.Data4[1],tagGUID.Data4[2],tagGUID.Data4[3], tagGUID.Data4[4],
						tagGUID.Data4[5],tagGUID.Data4[6],tagGUID.Data4[7],szDataSize);
 
					pDebugControl->Output(DEBUG_OUTPUT_NORMAL, szBuf);//输出到windbg
				}
 
				pDebugControl->Release();
				pDebugControl = NULL;
				pDataSpaces->EndEnumTagged(handle);
			}
		}
 
		pDataSpaces->Release();
	}
 
	return S_OK;
}
示例图:(前面打 印内存,后面打印所有的GUID)


windbgengine2






花熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
玩了下windbg插件
Returns' Station
03-09 2337
最近做一些自动化分析dump的东西,用windbg插件实现~mark一下~ 用WinDDK\7600.16385.1\Debuggers\sdk\samples\exts 编译~~ ULONG64 __stdcall FindObjectByName(char* szObjectName,ULONG64 ulRoot) { /* 哈希表 kd> dt _OBJECT_DIRECTO
C++异常——error C2143: 语法错误: 缺少“;”(在“enum [tag]”的前面)
weixin_45119096的博客
04-13 1611
error C2143: 语法错误,C++编码规范
枚举类型enum
程序狗的成长之路
03-17 923
定义:     注意1:如果要定义两个具有同样特性枚举类型的变量,可以有如下的两种定义方式: enum Box{pencil,pen};  //声明枚举类型Box; enum Box box1,box2;    //定义枚举变量box1,box2; 再有一种定义方式就是在声明枚举类型的同时进行定义: enum {pencil,pen} box1, box2; 对于枚举变量中的枚举元
适用于 Windows 10 版本 1809 WDK中windbg调试插件
09-02
适用于 Windows 10 版本 1809 WDK中windbg调试插件,支持vs2017,微软官方原版下载WDK中提取
windbg命令高亮显示插件
12-07
windbg高亮显示插件,希望大家多多支持!目前有些不是太完善 但是可用
WinDbg preview 1.2103.1004.0 版本,亲测可用
12-01
5. **扩展性**:WinDbg支持扩展脚本语言,如C++、C#、Python等,可以通过扩展脚本自定义调试规则和处理逻辑,增强了调试的灵活性和深度。 6. **符号管理**:WinDbg能自动或者手动配置符号路径,获取微软官方的符号...
windbg调试工具windbg-10.0.18.zip
10-24
6. **KD-Extensibility**:Windbg支持扩展插件,允许开发人员编写自己的扩展命令或脚本来增强其功能。 7. **调试网络**:通过KDNET,Windbg可以远程调试其他计算机上的进程,这对于多机器环境或者远程诊断问题非常...
windbg-order.rar_windbg
09-20
本压缩包“windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档“windbg order.doc”将详细介绍一些常用的Windbg命令,帮助你快速掌握这款神器的基本操作。 一、基本概念 Windbg是...
WinDbg-x64-v10.0.22621
最新发布
12-14
Windbg是微软开发的一套调试器中的组件。WinDBG属于内核级别调试器,不仅可以用来调试应用程序,也可以调试内核级的代码,如驱动程序。Windbg由于其丰富的命令和对Windows的原生支持还有其易用性,是其他其他调试器...
VS2012编windbg插件-大神必备
07-13
VS2012编windbg插件-大神必备,助你成功路上一避之力,这是一个优秀的教程
Windows 11 版本 WDK中windbg调试插件
07-22
适用于 Windows 11 版本 WDK中windbg调试插件,支持vs2019,微软官方原版下载WDK中提取
适用于 Windows 10 版本 1903 WDK中windbg调试插件
09-02
适用于 Windows 10 版本 1903 WDK中windbg调试插件,支持vs2019,微软官方原版下载WDK中提取
使用VC编译WinDbg插件
路人甲的专栏
07-19 1417
     WinDbg自带了一些插件的例子,演示了如何编写插件。在说明文件中,介绍了如何编译例子,并说明必须使用DDK的编译环境去编译插件。其实WinDbg插件根本用不到DDK中的东西,根本没有必要使用DDK去编译,可以直接使用Visual Studio去编译WinDbg插件。    最新版的WinDbg的头文件中使用了SAL Annotations,从Visual Studio 2005开
编写windbg调试器扩展 高级篇
lixiangminghate的专栏
08-15 1369
其实,前面几篇文章已经可以写出一个调试器扩展,但是编写这样的调试器扩展,其所能提供的功能并不比windbg脚本多。通过这篇文章,我希望大家能从中了解一些调试器扩展所特有的能力(要不然还费神写什么代码)。      进阶篇中曾经提到过一个不怎么起眼的类:IDebugClient,当时我介绍说这个类的作用是"用户输入的来源和命令输出的目标"。这句话没错,当然更确切的定义还是需要读者移步到MSDN查阅
编写windbg调试器扩展 入门篇1
lixiangminghate的专栏
08-10 1643
我博客的左侧专栏曾经转过windows下编写调试器的一系列文章,这类文章是从零打造调试器,而这篇文章是介绍如何为windbg编写调试器扩展命令。 0.前言     windbg的命令有很多,其中以"!"开始的命令就是所谓的扩展命令。这些扩展命令由Dll以导出函数的形式提供给windbg加载。一般跟在"!"后面的字符串就是dll中导出的函数。以!htrace命令为例,查看windbg帮助文档,它
windbg导出stl map和set的插件
yichigo的专栏
07-28 1906
windbg自带的stl_map等指令不能正确导出stl容器中的数据,所有我自己写了一个windbg插件stlkit,用于导出stl map和set的数据。 1.stlkit拷贝到windbg安装路径下的winext目录中; 2.windbg没有自动加载stlkit时,使用.load stlkit指令手动加载; 3.!set或!stlkit.set指令导出STL set的内容, 使用方法是: !set 变量名 !set 地址#成员类型 4.!map或!stlkit.map指令导出STL map的内容, 使用
编写 Debugging Tools for Windows 扩展,第 1 部分 (windbg 插件 扩展)
whatday的专栏
03-25 2589
调试器 API 编写 Debugging Tools for Windows 扩展 Andrew Richards   下载代码示例 http://download.csdn.net/detail/whatday/7133071 对生产问题进行故障排除可能是任何一位工程师要完成的最令人头疼的工作之一。 但同时它也可能是让人最有成就感的工作之一。 我在 Microsoft 技术支持部工作...
【逆向知识】开发WinDBG扩展DLL
weixin_30888027的博客
06-21 293
如何开发WinDbg扩展DLL WinDbg扩展DLL是一组导出的回调函数,用于实现用户定义的命令。以便从内存转储中提取特定的信息。扩展dll由调试器引擎加载,可以在执行用户模式或内核模式调试时提供自动化任务的扩展功能。扩展DLL可以导出任意数量用于执行扩展命令的函数。每个函数都被显式地声明为DLL定义文件中的导出函数,.def文件和函数名必须是小写字母。 ​ WinDbg(DbgEng...
WinDbg命令dt的使用
pureman_mega的博客
12-24 5137
(不是很全面。可以参考WinDbg的帮助文档。操作系统 win7 32) dt命令主要用来查看相关的变量,结构体等的信息,它配合一些参数使用可以 获取想要的信息。 使用dt命令查看结构体:lkd> dt nt!_list_entry +0x000 Flink : Ptr32 _LIST_ENTRY +0x004 Blink :
windbg -xe cpr 1.exe 这个命令行是什么意思
06-13
这个命令行是在使用Windbg调试器来运行名为1.exe的程序,并在程序运行过程中监视和记录CPU寄存器的内容。具体来说,-xe参数指定了要监视的内容,这里是cpr,表示要监视CPU的所有寄存器。1.exe是要运行的程序的名称。这个命令行的作用是在程序运行过程中记录CPU寄存器的变化,以帮助调试者检查程序的运行状态和诊断问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值