使用WinDbg调试内核

最新推荐文章于 2022-04-23 03:08:54 发布
VIP文章 最新推荐文章于 2022-04-23 03:08:54 发布
阅读量3.1k 收藏 4
点赞数
分类专栏: Windows安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/levones/article/details/88778267
版权

知识点

WinDbg是微软提供的一个免费调试器,支持内核调试,也具有监控Windows系统交互的功能。

**驱动与内核代码:**Windows设备驱动简称为驱动,他让第三方开发商在Windows内核模式下运行代码。驱动程序常驻与内存,并且负责响应用户态程序的请求,而且应用程序不直接与驱动程序通信,而是直接访问设备对象,向具体的物理设备发送请求。设备对象由驱动程序创建和销毁,可以被用户态的程序直接访问,但他们并不一定是真实的物理设备。为了系统能正常工作,驱动程序必须加载到内核空间,这与DLL需要加载到进程空间道理相同,当驱动被首次加载时,DriverEntry函数将被调用。

与DLL通过导出函数表来提供其功能不同,驱动程序通过注册回调函数来提供功能。当用户态的应用程序请求一个服务时,这些回调函数将被调用。回调函数在DriverEntry程序中被注册。Window会为每个条创建一个驱动对象,并以参数形式将其传递给DriverEntry函数,DriverEntry函数用回调函数填充这个驱动对象。然后DriverEntry会创建一个可以被用户态应用程序访问的设备对象,应用程序与去当的交互请求都通过这个设备对象进行。

考虑到来自用户态应用程序的一个读取数据的请求。最终这个请求发送到负责管理硬件并存储读入数据的驱动程序。首先,用户态的应用程序应该获得该硬件设备的一个文件句柄,然后再该具柄上调用函数ReadFile,接着内核会处理ReadFile函数的请求,最终由驱动程序的回调函数来响应对IO设备的读请求。七个球内核态的而已组建最常见函数时DeviceIoControl,它是从用户态模块到内核折别的一种通用请求方法,使用该函数时,用户态应用程序传递一个任意长度的缓冲区数据作为输入,并且接收一个任意长度的缓冲区作为输出。

**安装内核调试:**由于运行内核调试时操作系统会被冻结,因此我们需要Vmware来进行这一操作,与用户态调试不同,内核调试需要一些初始化设置。首先要在虚拟机系统中开启内核调试,然后配置Vmware使虚拟机与宿主系统之间有一条虚拟化的串口,同时还应该配置宿主系统中的WinDbg。详细的配置方法在网上能搜索到,在这里就不赘述了 。

boot.ini

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional with Kernel Debugging" /noexecute=optin /fastdetect /debug /debugport=COM1 /baudrate=115200

**WinDbg读取内存中的数据:**通过再WinDbg的内存窗口输入如下指令来读取程序数据或堆栈等内存位置&

最低0.47元/天 解锁文章
Hvnt3r
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Windbg调试目标程序去分析异常的两实战案例分享
dvlinker的技术专栏
02-22 2万+
使用Windbg动态调试目标程序去分析异常的两实战案例分享。
使用WinDbg内核调试
05-05
本文介绍的是在windows系统下进行C代码开发时的一种借助于WinDbg 工具进行代码调试的工具。
WinDbg 内核调试指南
12-27
Windows下的驱动调试工具,挺方便的,用的比较多的是借助它分析蓝屏信息
WINDBG内核调试工具
07-20
Windbg是在windows平台下,强大的用户态和内核调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来分析dump数据。
软件调试实战:windbg 内核调试 (lkd kd )
huanongying131的博客
06-04 4583
http://advdbg.org/books/swdbg/samples.aspx 一,本地内核调试( lkd ): 管理员权限启动windbg,ctrl + k --> Local 二,查看进程数据结构 1.启动计算器 2. !process 0 0 列出系统内的所有进程 3. dt _EPROCESS 88270030 ...
2021-04-17
weixin_38406825的博客
04-17 1644
Windows10 蓝屏修复 蓝屏提示 有关问题的详细信息和可能的解决方法,请访问 https://www.windows.com/stopcode 如致电支持人员,请向他们提供以下信息 中止代码:IRQL_NOT_LESS_OR_EQUAL 第一种方式 通过WinDbg软件打开dmp文件(C:\Windows\Minidump) ADDITIONAL_DEBUG_TEXT: You can run '.symfix; .reload' to try to fix the symbol path and
【排查过程】计算机蓝屏重启问题
用来学习的地方
04-23 8314
问题: - 每次蓝屏的时间段范围在[15,30] 分钟;即平均每隔半个小时蓝屏一次; - 蓝屏提示代码:DRIVER_IRQL_NOT_LESS_OR_EQUAL(或其他代码) 我的电脑具体情况: - 电脑是原装系统 - 去年的第四季度,系统蓝屏过3次左右,每次相隔一个月左右; - 今年,每隔一周,蓝屏一次,时间都固定在每周三,15:24,会蓝屏重启; - 在某天,系统蓝屏5次左右;继日开始,每隔半小时蓝屏一次; 总结该电脑的问题,先写在前面,在后文就不提了: 我的电脑为何每隔一...
服务器无限蓝屏,服务器频繁蓝屏,帮忙分析一下minidump,急求帮助!
weixin_42514222的博客
08-09 1117
ymbol search path is: srv*c:\mysymbols*http://msdl.microsoft.com/download/symbols;cache*c:\mysymbolsExecutable search path is:Windows 7 Kernel Version 7600 MP (16 procs) Free x64Product: Server, suite...
计算机蓝屏分析报告,Win7 又蓝屏了 附上分析报告,高手帮我看看!
weixin_29198045的博客
07-23 963
Win7 又蓝屏了 附上分析报告,高手帮我看看!Microsoft (R) Windows Debugger Version 6.11.0001.404 AMD64Copyright (c) Microsoft Corporation. All rights reserved.Loading Dump File [C:\Users\无心圆\Desktop\090910-34039-01.dmp]M...
WinDbg 蓝屏分析 Windows Dump 文件教程
热门推荐
eli的博客
12-06 2万+
修电脑最烦的不是别的,最烦的是 Random 蓝屏错误。因为你也不知道什么时候就蓝屏了。这种随机性还有无错误报告的问题最让人头疼。不过其实 Windows 每次蓝屏都会在系统目录下生成一个 Dump File 。也就是所谓分析报告。不过想要看懂这个报告,就需要一些技巧了。 一般来说,读取 Mini Dump 文件,只需要用 Nirsoft 的BlueScreenView即可轻松查看。不过这个软件只是轻量级的分析工具。只是给你提供崩溃时间,崩溃代码,引起崩溃的文件,崩溃内存地址等等。需要自己进行手动..
内核重载
坦然
09-12 2878
/*++ BUILD Version: 0004 // Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. You may only use this code if you agree to the terms of the Win
从PEB中取出MODULENAME
misterliwei的专栏
07-13 2258
 2009-10-7编辑PEB(进程环境块)是进程中几个数据结构中唯一在用户地址空间的一个结构。它保存着很多信息,但是我们比较感兴趣的是在此进程中加载的模块信息。在以前都是使用TOOLHELP32中的函数取得,其实这些过程最终也是从这个结构中取出响应得信息的。 每个进程的PEB结构地址保存在FS:[0x30]处,而
windbg分析dmp蓝屏文件_漏洞分析视角下的CVE-2020-0796漏洞
weixin_39718006的博客
11-25 731
1. 概述 2020年3月10日是微软补丁日,安全社区注意到Microsoft发布并立即删除了有关CVE-2020-0796的信息; 2020年3月11日早上,Microsoft发布了可纠正SMBv3协议如何处理特制请求的修补程序; 2020年03月12日微软发布安全公告声称Microsoft 服务器消息块 3.1.1 (SMBv3) 协议处理某些请求的方式中存在远程执行代码漏洞。成功利用此漏洞...
驱动蓝屏后简单的分析dump文件
Tinna_zhang的专栏
01-09 1万+
1: kd> !analyze–v Debugging Details: ------------------   *** ERROR: Moduleload completed but symbols could not be loaded for ntnfapi.sys   EXCEPTION_CODE:(NTSTATUS) 0xc0000005 - 0x%08lx   FAU
module_init解析
weixin_39094034的博客
03-17 3991
转自: linux驱动 之 module_init解析 (上)_Richard_LiuJH的博客-CSDN博客 Linux内核很吊之 module_init解析 (下)_Richard_LiuJH的博客-CSDN博客 写过linux驱动的程序猿都知道module_init() 这个函数。那么我们来了解一下module_init这个函数的具体功能和执行过程 在kernel源码目录中找到include\linux\init.h文件 /** * module_init() - driver in
java系统界面找不到符号,找不到符号,java找不到符号
weixin_39612677的博客
03-11 349
找不到符号,java找不到符号找不到符号找不到ntdll.pdb。*** ERROR: Symbolfile could not be found. Defaulted toexport symbols for ntdll.dll -************* Symbol Loading Error Summary **************Module name Er...
windbg本地内核调试
最新发布
07-13
7. 在Windbg中,您可以使用各种命令来分析和调试内核。例如,您可以使用"!process"命令查看进程列表,使用"!analyze -v"命令分析崩溃信息等。 请注意,本地内核调试需要一些专业知识和经验。在进行调试之前,请确保...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值