WinDbg学习笔记十一 - 内核调试常用命令5 - 对象相关

最新推荐文章于 2021-03-12 17:10:16 发布
最新推荐文章于 2021-03-12 17:10:16 发布
阅读量391 收藏
点赞数
分类专栏: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imJaron/article/details/78550709
版权

在系统中存在着各种各样的对象,所有资源都是以对象的形式存在的,比如文件对象,进程对象,线程对象。而大多数内核函数都会和对象管理器打交道。

句柄是对象的上层的抽象,不同的句柄可以表示同一个对象,不同的进程可以有值相同的句柄。由句柄可以得到对象,由对象也可以生成一个句柄出来。跟对象相关的命令主要有handle, object。


!handle: 主要用于显示句柄的信息,比如类型,名称等。可以指定特定句柄的信息,如果不指定或者值是0,则会显示当前进程里所有的句柄信息。




可以指定特定进程中的句柄信息。



!object: 显示对象的信息。 

!object xxxx, xxxx表示对象的地址。







imJaron
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg练习,连带发现win7的对象管理ObjectHeader有改变
colaftc的专栏
03-08 571
近日无聊,打开在vmware下搞了个win7 sp1捣鼓一番。按照习惯先查看pspcidtable,发现NextHandleNeedingPool是0x1000,也就是说已经有1级表了。由于这个win7是纯净版的,新装状态下就已经有这么多的cid了,在干净xp和2003上,几乎都是只有0级表的,故顿时感觉win7真是耗不少的资源。        随便找个进程看看,用!process确定了
寒江独钓-Windows内核安全编程随书光盘
06-14
掌握使用内核调试器(如WinDbg)进行调试技巧,能够帮助我们在代码出现问题时快速定位和修复。此外,进行充分的测试,包括压力测试和安全性测试,也是确保内核安全的重要环节。 通过学习《寒江独钓-Windows内核安全...
使用windbg查看DependencyObject的属性
IRIS88888的博客
11-16 228
这里以WPF作为探测用的例子,简单一些,看看Title的值是什么样子。(之所以写这个,因为不是简单的一个!do就能看到东西的,中间要绕两下,这也涉及到了DependencyObject的实现机制及数据的存储机制) 首先用VS新建一个WPF工程,在XAML中我们修改一下Title属性和Background属性,运行,得到界面如下(我故意缩小了窗口宽度以及高度) 那么,Titl...
使用WinDBG + SOS谈对象大小及字符串的结构
weixin_34341117的博客
12-01 83
昨天我们使用了一个最最简单的小实验,来检查相同类型的不同对象大小是否相同。当然,我们很轻易地“验证”得出,不同长度的字符串大小是不一样的。不过这种表面现象其实很难说明问题,因此我现在还是用WinDBG + SOS来进行一些检查,希望可以得到一些表面上看不出来的信息。 准备工作 首先,您需要先去下载并安装WinDBG(不过,其实它是纯绿色的)。我的机器是32位系统,如果您使用64位的机器进行实验...
Windows对象 (Object) 结构
weixin_34389926的博客
07-26 206
Windows系统的各种资源以对象Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体(Object Body)。Windows XP中有31种不同类型的对象Object Body反映了某一类...
垃圾回收(二)【Windows 系统上的大型对象堆】
极客神殿
01-07 560
Windows 系统上的大型对象堆 .NET 垃圾回收器 (GC) 将对象分为小型和大型对象。 如果是大型对象,它的某些特性将比对象较小时显得更为重要。 例如,压缩大型对象(也就是在内存中将其复制到堆上的其他地方)的费用相当高。 因此,.NET 垃圾回收器将大型对象放置在大型对象堆 (LOH) 上。 在本主题中,我们将深度探讨大型对象堆。 我们将讨论符合什么条件的对象才能称之为大型对象,如何回收...
windbg-order.rar_windbg
最新发布
09-20
本压缩包“windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档“windbg order.doc”将详细介绍一些常用的Windbg命令,帮助你快速掌握这款神器的基本操作。 一、基本概念 Windbg是...
驱动学习笔记
08-26
驱动学习笔记涵盖了Windows驱动程序开发的基础知识,以及与游戏安全相关的应用。在Windows操作系统中,驱动程序是系统核心的一部分,它们允许硬件设备和操作系统之间进行通信。这些笔记将深入探讨如何使用VC++6.0这...
cpp-AppleDFRTouchBar的Windows基础架构支持
08-16
7. **调试技巧**:因为涉及到内核模式的代码,调试会相当复杂,需要熟悉WinDbg等工具。 8. **文档和API理解**:可能需要阅读和理解Apple公开的Touch Bar相关文档,以及Windows开发相关的官方文档。 这个项目对于...
Windows驱动学习笔记
09-12
总之,“Windows驱动学习笔记”将引导你深入理解Windows驱动程序的工作原理,提供编写、调试和优化驱动程序所需的知识,是IT专业人士提升技术能力的宝贵资料。通过阅读和实践,你可以逐步掌握这个复杂而关键的领域。
CLR 全面透彻解析--大型对象堆揭秘
牛牛的小窝
06-28 971
CLR 垃圾回收器 (GC) 将对象分为大型、小型两类。如果是大型对象,与其相关的一些属性将比对象较小时显得更为重要。例如,压缩大型对象(将内存复制到堆上的其他位置)的费用相当高。在本月的专栏中,我将深入探讨大型对象堆。我将讨论符合什么条件的对象才能称之为大型对象,如何回收这些大型对象,以及大型对象具备哪些性能意义。大型对象堆和 GC在 Microsoft® .NET Framewor
WinDBG常用调试命令
CharlesPrince的专栏
08-06 1968
 .    查询符号 kd> x nt!KeServiceDescriptorTable*8046e100 nt!KeServiceDescriptorTableShadow = 8046e0c0 nt!KeServiceDescriptorTable =  kd> ln 8046e100(8046e100)   nt!KeServiceDescriptorTableShadow   | (804
[知识小节]Windbg常用指令(笔记本)
网络安全知识分享
03-12 2645
Windbg常用指令(持续更新)1、!drvobj2、dt _DRIVER_OBJECT 地址3、 bp 设定调试断点4、P5、U6、R7、D8、 lmf9、 lmf!address eax10、 vertarget11、 !peb12、 lmvm13、 E14、 k15、 X 1、!drvobj !drvobj 扩展命令显示DRIVER_OBJECT的详细信息。 语法 !drvobj DriverObject [Flags] 参数 DriverObject 指定驱动对象。可以是DRIVER_OB
WinDbg内核调试常用命令
weixin_34221036的博客
06-29 567
查看所有驱动和设备名 lm !object \ 查看根目录 !object \device 查看所有设备名 dt _DEVICE_OBJECT XXXX 查看设备对象内容 !devobj XXXX 查看设备对象内容 !object \Driver 查看所有驱动名 dt _DRIVER_OBJECT XXXX 查看驱动对象内容 !drvobj XXXX 查看设备对象内容 !devnode ...
windbg中通过文件句柄查找设备(!handle/!fileobj/!devobj命令)
lixiangminghate的专栏
12-18 2254
有时,在驱动程序中会调用ZwCreateFile获得设备句柄,然后保存在设备扩展区域中供其他例程使用。由于驱动程序经常被动调用----执行的上下文可能不是同一个线程----会获得错误的句柄。那么是否存在某些调试命令供我们在开发阶段判断所用句柄正是某个设备的句柄?强大的windbg提供了!handle/!fileobj/!devobj这些扩展命令来实现这个目的(注意这些命令要正确设置调试符号的路径)
windbg常用的查看命令
ShadowAssassin的专栏
09-05 1457
1、dt  查看结构内容    dt + 结构体名称   或者 dt + 结构体名称 + 地址 kd> dt _object_header nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Ptr32 Void
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1234
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
77.windbg-!drvobj、.devstack(驱动对象,设备栈,AttachedDevice)
hgy413的专栏
08-10 2129
!drvobj、.devstack(驱动对象,设备栈)演示
WinDbg.入门.6.内核调试常用命令1
08-03
介绍每个命令的主要作用,以及常用方式,不会涉及详细的命令参数,目的是能快速上手熟悉内核调试下的常用操作,而不是替代帮助文件。内存相关内存相关内存相关内存相关内存

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值