WinDbg学习笔记十一 - 内核调试常用命令5 - 对象相关

最新推荐文章于 2021-03-12 17:10:16 发布
最新推荐文章于 2021-03-12 17:10:16 发布
阅读量391 收藏
点赞数
分类专栏: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imJaron/article/details/78550709
版权

在系统中存在着各种各样的对象,所有资源都是以对象的形式存在的,比如文件对象,进程对象,线程对象。而大多数内核函数都会和对象管理器打交道。

句柄是对象的上层的抽象,不同的句柄可以表示同一个对象,不同的进程可以有值相同的句柄。由句柄可以得到对象,由对象也可以生成一个句柄出来。跟对象相关的命令主要有handle, object。


!handle: 主要用于显示句柄的信息,比如类型,名称等。可以指定特定句柄的信息,如果不指定或者值是0,则会显示当前进程里所有的句柄信息。




可以指定特定进程中的句柄信息。



!object: 显示对象的信息。 

!object xxxx, xxxx表示对象的地址。







imJaron
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg练习,连带发现win7的对象管理ObjectHeader有改变
colaftc的专栏
03-08 571
近日无聊,打开在vmware下搞了个win7 sp1捣鼓一番。按照习惯先查看pspcidtable,发现NextHandleNeedingPool是0x1000,也就是说已经有1级表了。由于这个win7是纯净版的,新装状态下就已经有这么多的cid了,在干净xp和2003上,几乎都是只有0级表的,故顿时感觉win7真是耗不少的资源。        随便找个进程看看,用!process确定了
Windows对象 (Object) 结构
sqqsongqiqi的专栏
01-09 2307
有一篇介绍 《Windows对象 (Object) 结构》的文章 因为有太多的转载信息 不知道真实的出处了。 原文作者看到的话给了连接 我直接链接过去。 Windows系统的各种资源以对象Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager
WinDbg内核调试常用命令
weixin_34221036的博客
06-29 567
查看所有驱动和设备名 lm !object \ 查看根目录 !object \device 查看所有设备名 dt _DEVICE_OBJECT XXXX 查看设备对象内容 !devobj XXXX 查看设备对象内容 !object \Driver 查看所有驱动名 dt _DRIVER_OBJECT XXXX 查看驱动对象内容 !drvobj XXXX 查看设备对象内容 !devnode ...
WinDBG常用调试命令
CharlesPrince的专栏
08-06 1968
 .    查询符号 kd> x nt!KeServiceDescriptorTable*8046e100 nt!KeServiceDescriptorTableShadow = 8046e0c0 nt!KeServiceDescriptorTable =  kd> ln 8046e100(8046e100)   nt!KeServiceDescriptorTableShadow   | (804
windbg中通过文件句柄查找设备(!handle/!fileobj/!devobj命令)
lixiangminghate的专栏
12-18 2254
有时,在驱动程序中会调用ZwCreateFile获得设备句柄,然后保存在设备扩展区域中供其他例程使用。由于驱动程序经常被动调用----执行的上下文可能不是同一个线程----会获得错误的句柄。那么是否存在某些调试命令供我们在开发阶段判断所用句柄正是某个设备的句柄?强大的windbg提供了!handle/!fileobj/!devobj这些扩展命令来实现这个目的(注意这些命令要正确设置调试符号的路径)
windbg-order.rar_windbg
最新发布
09-20
本压缩包“windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档“windbg order.doc”将详细介绍一些常用的Windbg命令,帮助你快速掌握这款神器的基本操作。 一、基本概念 Windbg是...
寒江独钓-Windows内核安全编程随书光盘
06-14
掌握使用内核调试器(如WinDbg)进行调试技巧,能够帮助我们在代码出现问题时快速定位和修复。此外,进行充分的测试,包括压力测试和安全性测试,也是确保内核安全的重要环节。 通过学习《寒江独钓-Windows内核安全...
驱动学习笔记
08-26
驱动学习笔记涵盖了Windows驱动程序开发的基础知识,以及与游戏安全相关的应用。在Windows操作系统中,驱动程序是系统核心的一部分,它们允许硬件设备和操作系统之间进行通信。这些笔记将深入探讨如何使用VC++6.0这...
cpp-AppleDFRTouchBar的Windows基础架构支持
08-16
7. **调试技巧**:因为涉及到内核模式的代码,调试会相当复杂,需要熟悉WinDbg等工具。 8. **文档和API理解**:可能需要阅读和理解Apple公开的Touch Bar相关文档,以及Windows开发相关的官方文档。 这个项目对于...
Windows驱动学习笔记
09-12
总之,“Windows驱动学习笔记”将引导你深入理解Windows驱动程序的工作原理,提供编写、调试和优化驱动程序所需的知识,是IT专业人士提升技术能力的宝贵资料。通过阅读和实践,你可以逐步掌握这个复杂而关键的领域。
windbg常用的查看命令
ShadowAssassin的专栏
09-05 1457
1、dt  查看结构内容    dt + 结构体名称   或者 dt + 结构体名称 + 地址 kd> dt _object_header nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Ptr32 Void
使用windbg查看DependencyObject的属性
IRIS88888的博客
11-16 228
这里以WPF作为探测用的例子,简单一些,看看Title的值是什么样子。(之所以写这个,因为不是简单的一个!do就能看到东西的,中间要绕两下,这也涉及到了DependencyObject的实现机制及数据的存储机制) 首先用VS新建一个WPF工程,在XAML中我们修改一下Title属性和Background属性,运行,得到界面如下(我故意缩小了窗口宽度以及高度) 那么,Titl...
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1234
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
[知识小节]Windbg常用指令(笔记本)
网络安全知识分享
03-12 2645
Windbg常用指令(持续更新)1、!drvobj2、dt _DRIVER_OBJECT 地址3、 bp 设定调试断点4、P5、U6、R7、D8、 lmf9、 lmf!address eax10、 vertarget11、 !peb12、 lmvm13、 E14、 k15、 X 1、!drvobj !drvobj 扩展命令显示DRIVER_OBJECT的详细信息。 语法 !drvobj DriverObject [Flags] 参数 DriverObject 指定驱动对象。可以是DRIVER_OB
学习使用常用的windbg命令(u、dt、ln、x)
热门推荐
wesley2005的专栏
05-25 1万+
目录: (1) u命令(反汇编) (2) dt命令(查看数据结构) (3) ln命令(查找就近的符号) (4) x命令(显示模块的符号) (5) k命令(显示调用栈) (6) d命令(以数据方式显示) (7) b命令(断点) (8) lm lmvm (显示模块信息) (9) .reload (重加载模块) (10) !process !t
Windbg内核调试之三: 调试驱动
mergerly的专栏
09-26 2730
这次我们通过一个实际调试驱动的例子,来逐步体会Windbg内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分钟的系统响应.有关双机调试的基本设置,请参考:htt
windbg !drvobj扩展命令失效时...
lixiangminghate的专栏
06-12 720
如题,当"!drvobj"命令失效时怎么办?调试ddk sample:wdffeatrued驱动时遇到这个问题,现象如下:kd> lml start end module name 8201e000 82082000 hal (private pdb symbols) D:\symbols\win10Rs2x86\halmacpi.pdb\4E9BD9...
WinDbg.入门.6.内核调试常用命令1
08-03
总之,WinDbg内核调试常用命令涉及内存相关对象相关、驱动设备相关以及蓝屏 Dump相关命令,这些命令能够帮助用户快速上手并熟悉内核调试下的常用操作。希望本文能够帮助读者更好地了解和应用这些命令,进而更好地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值