windbg中通过文件句柄查找设备(!handle/!fileobj/!devobj命令)

最新推荐文章于 2023-09-21 15:27:45 发布
最新推荐文章于 2023-09-21 15:27:45 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: win驱动 调试 器之卷 文章标签: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/53727324
版权
调试 同时被 3 个专栏收录
122 篇文章 5 订阅
订阅专栏
器之卷
68 篇文章 2 订阅
订阅专栏
win驱动
45 篇文章 7 订阅
订阅专栏

    有时,在驱动程序中会调用ZwCreateFile获得设备句柄,然后保存在设备扩展区域中供其他例程使用。由于驱动程序经常被动调用----执行的上下文可能不是同一个线程----会获得错误的句柄。那么是否存在某些调试命令供我们在开发阶段判断所用句柄正是某个设备的句柄?强大的windbg提供了!handle/!fileobj/!devobj这些扩展命令来实现这个目的(注意这些命令要正确设置调试符号的路径)。

    为了演示这些功能,我写了2个驱动:a.SampleChar,一个挂载在root总线之上的字符驱动,创建了一个名为\\Deivce\SampleChar的虚拟设备;b.FilterSampleChar,同样是挂载在root总线之上的虚拟字符驱动,创建了一个名为\\Device\FilterSample设备。应用程序打开设备\\Device\FilterSample时,FilterSampleChar在Create派遣函数中调用ZwCreateFile打开设备\\Deivce\SampleChar并获得句柄。下面是FilterSampleChar代码片段:

NTSTATUS FilterSampleCharCreateClose(PDEVICE_OBJECT devObj, PIRP irp)
{
	HANDLE sampleCharDev;
	IO_STACK_LOCATION* currStack = IoGetCurrentIrpStackLocation(irp);
	NTSTATUS status = STATUS_SUCCESS;
	UNICODE_STRING devName;
	OBJECT_ATTRIBUTES fileAttr;
	IO_STATUS_BLOCK ioStatus;
	FilterSampleDriverCtx* devCtx = (FilterSampleDriverCtx*)devObj->DeviceExtension;

	RtlInitUnicodeString(&devName, L"\\Device\\SampleChar");
	InitializeObjectAttributes(&fileAttr, 
							&devName,
							OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE, 
							NULL,NULL);

	switch (currStack->MajorFunction)
	{
	case IRP_MJ_CREATE:
		status = ZwCreateFile(&sampleCharDev, 
						GENERIC_READ|SYNCHRONIZE, 
						&fileAttr, 
						&ioStatus,NULL,
						FILE_ATTRIBUTE_NORMAL,
						FILE_SHARE_READ,
						FILE_OPEN_IF, 
						FILE_SYNCHRONOUS_IO_NONALERT, 
						NULL, 0);

		if (status != STATUS_SUCCESS)    ----> 1)
		{
			irp->IoStatus.Information = 0;
			irp->IoStatus.Status = status;
			IoCompleteRequest(irp, IO_NO_INCREMENT);
			return status;
		}
		else
		{
			devCtx->targetDevHd = sampleCharDev;
		}
		break;
	case IRP_MJ_CLEANUP:
		ZwClose(devCtx->targetDevHd);
		break;
	}
	irp->IoStatus.Information = 0;
	irp->IoStatus.Status = STATUS_SUCCESS;
	IoCompleteRequest(irp, IO_NO_INCREMENT);

	return status;
}
在1)处下断点,然后执行测试程序,windbg马上就会停留在断点处: 

int main()
{
	char interfaceBuff[128] = { 0 };
	DWORD lstErr;
	char readBuff[4096] = { 0 };
	DWORD len = 0, writeLen, readLen;

	hDev = CreateFileA("\\\\.\\filterSampleChar",
		GENERIC_ALL,
		FILE_SHARE_READ | FILE_SHARE_WRITE,
		NULL, OPEN_EXISTING, 0, NULL);

首先查看返回句柄sampleCharDev的值:

kd> ?? sampleCharDev
void * 0x80000918
句柄值0x80000918。随后,用!handle命令查看句柄信息 

kd> !handle 80000918 

PROCESS 877bbd40  SessionId: 1  Cid: 027c    Peb: 7ffda000  ParentCid: 08e0
    DirBase: 7ffd9480  ObjectTable: a1da6070  HandleCount:  13.
    Image: TestFilterSampleChar.exe

Kernel handle table at 9d800000 with 485 entries in use

80000918: Object: 86d0f650  GrantedAccess: 00120089 Entry: 9d801230
Object: 86d0f650  Type: (87602938) File
    ObjectHeader: 86d0f638 (new version)
        HandleCount: 1  PointerCount: 1
这个命令显示了句柄所属的进程信息,对象信息:object 86d0f650,对象类型:file

知道这是文件对象后,可以通过!fileobj获得文件本身的信息:

kd> !fileobj 86d0f650  

Device Object: 0x89bf1b18   \Driver\SampleChar
Vpb is NULL
Event signalled

Flags:  0x40002
	Synchronous IO
	Handle Created

CurrentByteOffset: 0
通过这个命令,可知:这个文件是打开设备对象Device Object:0x89bf1b18时产生的文件句柄,该设备对象由驱动\Driver\SampleChar创建;另外还有一些文件指针信息,如CurrentByteOffset。
有了设备对象的地址,就可以通过!devstack命令获得设备信息: 

kd> !devstack 0x89bf1b18   
  !DevObj   !DrvObj            !DevExt   ObjectName
> 89bf1b18  \Driver\SampleChar 89bf1bd0  SampleChar
  8761b980  \Driver\PnpManager 8761ba38  00000045
!DevNode 8761b7c8 :
  DeviceInst is "Root\SYSTEM\0003"
  ServiceName is "SampleChar"
!devstack输出的设备栈信息和文章开头所列的代码意图一致,应该足以判断ZwCreateFile返回的设备句柄背后就是设备对象\\Device\SampleChar




Eugene800
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windbg调试手册
04-26
- 之前发布的Windbg预览版在Microsoft Store不再接收更新,用户应通过本页描述的方式安装最新版Windbg。 **故障排查与反馈** - 如果发现错误或有功能建议,用户可以通过GitHub页面提交问题。 - 新用户可以参考...
windbg官方帮助文件文汉化chm
08-06
windbg调试器的帮助文件是英文版本的,对于英文不算好的同学,阅读起来比较麻烦,现整理了一份文汉化版本的chm帮助文件,索引页缺少点图片,其他都还好。
32.windbg-!handle(句柄信息)
hgy413的专栏
10-21 6624
!handle !handle 扩展显示目标系统一个或所有进程拥有的句柄的信息 0:001> !handle Handle 4 Type Directory Handle 8 Type File Handle c Type File Handle 10 Type Key Handle 14 Type
windbg学习21(!handle和!cs)
rongwenbin的专栏
02-26 2092
1.查看句柄信息!handle !handle 扩展显示目标系统一个或所有进程拥有的句柄的信息 [cpp] view plaincopy 0:001> !handle  Handle 4    Type          Directory  Handle 8    Type          File  Handle c    Type          File
windbg常用命令总结
萧戈的专栏
06-20 3113
    命令                           解析 !process 0 0                显示所有进程 !dt _EPROCESS 地址          所有进程的EPROCESS信息 !process 地址               显示进程的关键信息 !token                      查看访问令牌的有关信息 !ha
[WinDBG 技巧] 列举所有Handle句柄)以及查看Handle 信息
anjichan4261的博客
05-22 608
WinDBG的 !handle 命令可以让你方便调试句柄(handle)。 查看进程内所有句柄, 输入命令行 0:014> !handleHandle 4 Type DirectoryHandle 8 Type ProcessHandle c Type KeyHandle 10 Type ...
VS2010下使用WinDbg通过dmp和pdb文件定位到崩溃位置
01-16
WinDbg会自动查找匹配的pdb文件。如果pdb文件缺失,需要重新编译源代码,并确保在生成时启用符号信息。 5. **分析崩溃信息**:在WinDbg命令窗口,输入`.loadby sos clr`命令加载.NET调试扩展sos,然后使用`!...
最新版WinDbg离线安装包
11-07
最新版WinDbg离线安装包
Windbg插件 pykd
11-07
python pykd
Handle 查看window文件句柄信息
04-14
查看window文件句柄信息有用工具。协助开发人员查看句柄使用情况。
WinDbg常用命令详解
iiihacker 的 黑客编程 入侵和防御 专栏
11-30 3438
1、工作空间是以累积的形式打开的。 2、删除工作空间更快的方法是使用“Regedit”,在键目录 “//Registry//CurrentUser//Software//Microsoft//WinDbg将Workspace全部删掉。 3、可以通过导入注册表或者Open Workspace in File打开.WEW文件来使用默认的Theme(主题)——经过特殊定制的工作空间。
利用windbg探索进程和进程上下文
05-07 228
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 [plain]viewplain? 0:kd>!process00 ****NTACTIVEPROCESSDUM...
WinDbg使用
计算机小白的日常笔记_Derrick
04-02 3306
一、WinDbg是什么?它能做什么?   WinDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。 二、WinDbg6.12.0002.633下载: x86位版本下载:【微软官方安装版】 蓝屏Dump分析工...
Windbg 分析 Dump File 简单演示
dengjiang1999的专栏
07-12 1855
使用 Windbg 调试 Dump 文件是一种常用的手法,不同于 Attach Process,这种方式允许我们 "离线"完成调试工作。Dump 文件保存了目标进程某个时间点的内存及相关程序信息镜像。本文只是一个简单的调试过程演示,更多细节可参考 Windbg 及SOS.dll 的相关帮助。class Program{  private List list = new List
[WinDBG 技巧] 列举所有Handle句柄)以及查看Handle 信息
weixin_33953249的博客
05-22 325
WinDBG的 !handle 命令可以让你方便调试句柄(handle)。 查看进程内所有句柄, 输入命令行 0:014> !handleHandle 4  Type          DirectoryHandle 8  Type          ProcessHandle c  Type          KeyHandle 10  Type          MutantHa...
windbg符号加载和调试
子曰小玖的博客
01-16 4512
https://blog.csdn.net/mofabang/article/details/49678729 驱动文件*.sys一般在目录: C:\Windows\System32\drivers pc机上每个东西都有驱动,键盘、鼠标、显示器、cpu等等。 没有驱动,这些东西都不能运作,就是一堆废品。 谈一谈windows驱动调试。 使用windbg调试。 一般安装ddk后,就安装...
解决Windows系统缺少devobj.dll文件无法运行程序问题
amio555的专栏
09-21 209
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个devobj.dll文件(挑选合适的版本文件)把它放入到程序或系统目录,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现devobj.dll丢失要怎么解决?
windbg!ip2md
最新发布
03-10
Windbg,`!ip2md`是一个非常有用的命令,它用于将指令指针(Instruction Pointer)转换为方法描述符(Method Descriptor)。通过这个命令,我们可以获取到指定指令所在的方法的相关信息。 具体来说,`!ip2md`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值