- 博客(3)
- 收藏
- 关注
RSS订阅原创 几个常用的 WinDbg 命令
1. 查询符号<br /><br />kd> x nt!KeServiceDescriptorTable*<br />8046e100 nt!KeServiceDescriptorTableShadow = <no type information><br />8046e0c0 nt!KeServiceDescriptorTable = <no type information><br /><br />kd> ln 8046e100<br />(8046e100) nt!KeServiceDescripto
2010-10-17 06:57:00
456
转载 ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存
ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存这里只是简单的实现下读取进程空间的数据...写操做也是一样的....比较简单... 这样你就可以在内核读用户空间了....哈哈 大家都知道在用户态我们常用 kernel32.dll中的ReadProcessMemory来读 取进程...这个函数只是简单地对传入的参数进行处理然后调用了 ntdll.dll中的NtReadVirtualMemory/ZwReadVirtualMemo
2010-07-14 23:49:00
1376
转载 WinDBG 技巧:设断点命令详解(bp, bu, bm, ba 以及bl, bc, bd, be)
<br />bp 命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不一定继续有效; 2)WinDBG 不会把bp断点保存工作空间中 。 所以,我比较喜欢用bu 命令。 <br />bu 命令是针对某个符号下断点。 比如 bu MyApp!SomeFunction
2010-07-14 23:13:00
361
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人