软件调试实战:windbg 内核调试 (lkd kd )

最新推荐文章于 2024-06-24 18:41:05 发布
最新推荐文章于 2024-06-24 18:41:05 发布
阅读量4.7k 收藏 11
点赞数
分类专栏: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huanongying131/article/details/90792994
版权

http://advdbg.org/books/swdbg/samples.aspx

一,本地内核调试( lkd ):

管理员权限启动windbg,ctrl + k --> Local

二,查看进程数据结构

1. 启动计算器

2. !process 0 0                    列出系统内的所有进程

3. dt _EPROCESS 88270030            (查看calc.exe 的EPROCESS结构)

4.!process 88270030          (查看calc.exe 的关键信息)

5. !token b1430a38         (查看calc.exe 的token信息)

6.查看peb (内核模式下,先设置隐式进程)

    .process 88270030                   (设置calc.exe 为隐式进程)

   

   dt _PEB 7ffde000                      (查看calc.exe peb)

   

7.!handle                       (查看calce.exe 句柄表 在calce.exe 进程环境)

.

8. !process 4 0            (查看system进程)

9. 查看 idle 进程

二 ,双机调试(kd) 环境配置:https://blog.csdn.net/huanongying131/article/details/90740286

1.查看双重错误 任务门(软件调试 p301)

2.查看当前任务门(tr)

3.产看中断描述表(idt)

三、UefSndThrd.exe练习(12章)

1.ctrl+e  打开执行文件

2.设置符号路径,源文件路径:

3.下bp断点

4.g 执行

5.继续:

6.从中可以看出:

 主函数插入了一层异常(_XcptFilter) 

四、dump练习

1.用everyting 搜.dmp 发现一堆 tim的dump OK 选一个来练习一下

2.ctrl+d 

3.随便选一个

4. .ecrx (显示异常环境记录,重要的是 该指令还会却换到发生异常的线程环境 

                比如(~ (线程号)s    .process EPROCESS地址) 都是确换环境,有了环境 kn 这些指令才能根据环境获取信息)

5. kv 查看栈回溯

五、蓝屏dump练习

1.本系统C:\Windows 目录下刚好有个MEMORY.dmp文件 直接用它

2.ctrl + d 打开dmp文件

2. BugCheck 7F     (从 debugger.chm(windbg帮助文档)搜索 Bug Check 0x7F)

3. {8, 807ca750, 0, 0}

第一个参数 8

4. 照着文档的流程 练习一下

5. !analyze

6. kv  (上面 可以知道 是哪个驱动导致的(Hooksys.sys)  看一下栈回溯 (分析一下驱动的哪一部分导致的))

7. .tss  0x28   查看任务状态段 (由上图可知是一个 tass gate 中断)

8. kv (上图  可以看出蓝屏是 nt!MiAllocatePoolPages+0x12  看一下哪一部分调到这里的)

 

9. .thread    !thread   (查看线程信息, 蓝屏环境是 当前线程  当前进程)

10. .process  !process (查看当前进程)

11. !analyze -v(一步到位)(1--8 很繁琐  但刚开始分析 需要 理解原理  分析过程)

FAILURE_BUCKET_ID:  0x7f_8_Hooksys+1b2f6     BUGCHECK_STR:  0x7f_8 

      UNEXPECTED_KERNEL_MODE_TRAP (7f)   Arg1: 00000008, EXCEPTION_DOUBLE_FAULT

12. ln   ( 查看最后跳转  LAST_CONTROL_TRANSFER:  from 83cabafe to 83d3247a)

ExpAllocateBigPool ---> MiAllocatePoolPages

六. TEB (24章)

打开计算器calc.exe,windbg F6 -->附加到calc.exe

1.dt ntdll!_NT_TIB

2. u ntdll!NtCurrentTeb

3.dd fs:[18] l1

4. dt ntdll!_NT_TIB 7ffd9000

5. dt _EXCEPTION_REGISTRATION_RECORD 0x0348f8c4

6. !exchain

7. u ntdll!RtlpGetRegistrationHead

 

huanongying131
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VirtualKD: windbg调试加速器
10-11
配合WinDbg使用。...WinDbg可以借助该管道在HostOS与GuestOS之间进行调试。 相比于使用串口,VirtualKD的数据交互速率有极大的提升 (微软官方测试速率最高为6MB/S,即使在VMWare平台也可达到150KB/s)
使用WinDbg内核调试
05-05
本文介绍的是在windows系统下进行C代码开发时的一种借助于WinDbg 工具进行代码调试的工具。
Windbg内核调试之五: 一次利用Dump文件调试Deadlock的实战
wowolook的专栏
06-08 5753
http://www.cnblogs.com/Sonic2007/archive/2010/09/01/1541988.html 最近遇到项目的一个bug,安装产品之后系统hang住。大致的现象是系统logon之后,Taskbar显示,然后hang住,Ctrl+Alt+Del不能调出TaskManager,Mouse不能移动,硬盘LED不闪烁。由于机器不在手边,远程调试又极其慢(实际
WINDBG调试DUMP文件
热门推荐
vah101的专栏
09-30 1万+
    对于windows程序员来说,程序运行时蓝屏是最郁闷的事情,如何找到蓝屏的原因则是首要解决的事情,好在微软提供了一系列的方法,为我们调试蓝屏提供了便利。    首先要用的工具是windbg,可以到微软的官方网站下载    http://msdl.microsoft.com/download/symbols/debuggers/dbg_x86_6.11.1.402.msi    再需要下载并安装一个符号链接库,微软官方网站也有提供,这个要根据你所调试系统的版本来选择    http://www.mic
windbg调试入门(一)
最新发布
m0_60558754的博客
06-24 295
在编写完成后,右键点击项目生成,然后在文件夹中查看,生成的Project1.exe程序和Project1.pdb文件,其中pdb文件为存储的符号表,需要和exe的生成版本,或者生产时间保持一致。最后调试完毕后,使用qd退出当前运行的程序,对于已经调试到崩溃步骤的程序,如果想重新调试,则需要重新launch exe,使用reload命令则无法重新加载。在这个程序中,c的值被赋为0,当带入到func函数中的计算y时候,除0计算会导致程序崩溃,无法按期执行打印后面的x和y的值。在下面的0:000>位置输入命令。
在win7 虚拟机上使用windbg进行内核调试的配置
lwt321的专栏
06-25 699
2、win7打开内核调试和串口模式。使用msconfig命令,使用管理员账号执行。注意红色箭头指示内容。端口号依据你本机的实际情况选择。配置完毕后进行重启。4、重启虚拟机,下图表示成功连接内核调试,可进行相关调试工作。配置完毕后启动windbg,如下图表明等待调试目标机连接。1、虚拟机上添加串口硬件,注意红色箭头指示的内容。WinDbg Preview配置。3、windbg配置。
如何配置WinDbg和VMware实现内核调试
Jeromeyoung
12-05 1237
这时启动刚才设置好的 WinDbg 快捷方式,发现很快 WinDbg 就连上虚拟机中的 Guest OS了,如果很长时间没有连接上的话, 可以单击 WinDbg 菜单中的"Debug"->“Kernel Connection”->“Resynchronize”。默认的全局调试设置中,调试类型为 Serial,调试端口为 1,波特率为 115200,这已经是我们需要的设置了。设备状态,勾选“启动时连接”,表示在开启虚拟机操作系统时,与这个虚拟设备(串口),建立连接。单击“ 完成”,按钮。
WinDbg -- Local kernel debug
TakakiTohno的博客
05-12 914
WinDbg本地调试
WinDbg学习笔记八 - 内核调试常用命令2 - 进程相关
imJaron的博客
11-14 691
!process: 查看进程信息,比如EPROCESS地址,进程ID,线程信息等等。 !process 0 0: 用来显示进程列表以及每个进程的基本信息。 也可以查看指定进程的信息,以下会显示863e6b60进程的基本信息,不加0则会显示具体的信息。 !process -1 0则会显示当前进程的基本信息, 也可以查找特定的进程,比如
windows 内核调试工具 Windbg
03-16
Windbg是一款强大的Windows操作系统调试工具,尤其在内核调试领域具有广泛的用途。它由Microsoft开发,被广泛应用于系统开发者、驱动程序开发者以及系统管理员之中,以解决各种复杂的系统问题,如性能瓶颈、崩溃...
Windows调试器:第1部分:WinDbg教程
04-11
1. **启动WinDbg:** 你可以通过打开WinDbg应用程序来开始一个调试会话。选择“文件”菜单下的“附加到进程”或“调试新进程”来连接到目标应用程序。 2. **设置断点:** 断点允许你在程序执行到特定位置时暂停。在...
WINDBG内核调试工具
07-20
Windbg是在windows平台下,强大的用户态和内核调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
Windbg调试命令详解
Boy_Kris的专栏
02-28 2487
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
windows程序员进阶系列:《软件调试》之五windows操作系统概要
923723914
03-13 343
windows程序员进阶系列:《软件调试》之五:Windows操作系统概要 操作系统是计算机系统中的基本软件。它负责管理系统中的软硬件资源。通常都包括文件管理、内存管理、进程管理、打印管理、网络管理等基本功能。除此之外,支持调试也是操作系统设计的一项根本任务。 从被调试对象的角度来看,可以把操作系统的调试支持分为以下三个方面: 一:对应用程序的调试。即如何简单高效的调试运行在系统中的应...
windbgkd命令
darthas的专栏
09-26 1786
1. !idt 显示idt信息,!dpcs显示dpc信息 2. !stacks 1 XX 显示内核栈信息,1表示换出的内核栈也显示,XX是一个过滤条件,如写为ndis,则只显示包含ndis的栈 3.
缓冲区溢出漏洞分析
tomorrowyayaya的博客
11-30 719
缓冲区溢出漏洞分析使用windbg加载计算器,查看堆结构查看peb结构功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 使用windbg加载计算器,查看堆结构 查看peb结构 我们对Markdown编辑器进行了一些功能拓展与语法支持
使用windbg进行内核调试
lirunling的博客
06-06 4848
1.因为内核调试涉及到的是windows系统,所以只能在windows上运行,首先安装xp虚拟机;2.然后配置boot.ini文件,由于boot.ini文件在xp系统中是被隐藏的,所以需要先取消xp的隐藏文件夹选项,具体步骤:1)打开的“我的电脑选项”->选择“工具”中的“文件夹选项”2)打开之后选择“查看”,勾选“显示所有文件和文件夹”之后就可以在c盘根目录下找到boot.ini文件,或者...
windbg调试内核
Only_One_Best的博客
04-01 143
path:添加环境变量windbg的路径 X86 和 X64的目录都添加,windbg.exe的目录。VirtualKD-Redux配置好windbg和VMware就可以调试了。C:MySymbols 是自己创建的文件夹。
windows driver双机调试环境搭建,用windbg或者debug view查看内核调试输出
QuanWaiRen0的博客
11-09 1500
windows driver开发环境搭建,内核双机调试环境搭建,debug view查看调试信息, windbg 查看内核打印信息
Windows驱动蓝屏调试指南:WinDbgKD工具详解
2. 下载WinDbg: 文档提供了如何下载并安装调试工具WinDbg,这是进行深入系统级调试的基础。 3. Windows符号包:对于准确定位问题,了解如何下载和使用Windows符号包(Symbol Packages)是至关重要的,它可以帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值