当windbg !drvobj扩展命令失效时...

最新推荐文章于 2021-03-12 17:10:16 发布
最新推荐文章于 2021-03-12 17:10:16 发布
阅读量723 收藏
点赞数 1
分类专栏: 调试 器之卷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiangminghate/article/details/80672428
版权

如题,当"!drvobj"命令失效时怎么办?调试ddk sample:wdffeatrued驱动时遇到这个问题,现象如下:

kd> lml
start    end        module name
8201e000 82082000   hal        (private pdb symbols)  D:\symbols\win10Rs2x86\halmacpi.pdb\4E9BD9D216E244095545EAFA3EF6563F1\halmacpi.pdb
82082000 82703000   nt         (private pdb symbols)  D:\symbols\win10Rs2x86\ntkrpamp.pdb\70298DDA981447F18AE18C7DF819303A1\ntkrpamp.pdb
85e60000 85f53000   mcupdate_GenuineIntel   (pdb symbols) D:\symbols\win10Rs2x86\mcupdate_GenuineIntel.pdb\FB614FE599FDFA11D5E1125EEC6DF07A1\mcupdate_GenuineIntel.pdb  
a8220000 a822a000   wdffeatured   (private pdb symbols)  c:\winddk\windows-driver-samples-master\general\toaster\toastdrv\kmdf\func\featured\debug\wdffeatured.pdb

不要怀疑是符号不匹配的原因!lml明确的告诉我,已经加载匹配的符号。然而很不幸"!drvobj"的输出不尽人意:

kd> !drvobj wdffeatured
Driver object (a8220000) is for:
a8220000: is not a driver object

起初以为windbg对32位WDF驱动支持不好,就让同事帮忙验证一我的猜测,很显然,我猜错了!那怎么办?试试间接途径:!wdfdriverinfo可以显示驱动程序WDFDRIVER句柄值:

kd> !wdfkd.wdfdriverinfo  wdffeatured
----------------------------------
Default driver image name: wdffeatured
WDF library image name: Wdf01000
 FxDriverGlobals  0xa5bef778
 WdfBindInfo      0xa822404c
   Version        v1.15 build(0000)
----------------------------------
WDFDRIVER: 0x4f59f678  ;<---------句柄值

    !WDFDEVICE 0x5a412d88 (FDO)
        Pnp/Power State: WdfDevStatePnpStarted, WdfDevStatePowerDx, WdfDevStatePwrPolWaitingUnarmed
        context:  dt 0xa5bed400 FDO_DATA (size is 0x28 bytes)
        EvtCleanupCallback a8225380 wdffeatured!ToasterEvtDeviceContextCleanup

从句柄值用!wdfhandle获得框架对象地址:

kd> !wdfhandle 0x4f59f678 ;<----上一步!wdfdriverinfo获得的句柄值

Dumping WDFHANDLE 0x4f59f678
=============================
Handle type is WDFDRIVER
Refcount: 1
Contexts:
    <no associated contexts or attribute callbacks>

!wdfobject 0xb0a60980 
kd> !wdfobject 0xb0a60980 ;<-----FxDriver对象地址

The type for object 0xb0a60980 is FxDriver
State: FxObjectStateCreated (0x1)
!wdfhandle 0x4f59f678

dt FxDriver 0xb0a60980

Contexts:
    <no associated contexts or attribute callbacks>

FxDriver中保存Driver_Object对象指针,感觉离目标很近了:

kd> dt FxDriver 0xb0a60980
Wdf01000!FxDriver
   +0x044 m_DriverObject   : MxDriverObject ;这两个成员怎么看都觉得是DriverEntry的参数!
   +0x048 m_RegistryPath   : _UNICODE_STRING "\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wdffeatured"

FxDriver+0x44处保存了Driver_Object对象指针,地址0xb0a60980+0x44处并不是真正的Driver_Object,得再进行一次访存取地址:

kd> dd 0xb0a60980+0x44 L4
b0a609c4  8e54baf8 00780076 ae984c38 b5bc8801
kd> dt MxDriverObject 8e54baf8 
Wdf01000!MxDriverObject
   +0x000 m_DriverObject   : 0x00a80004 _DRIVER_OBJECT

最后在0x8e54baf8 处取到Driver_Object地址(这个地址看着还算靠谱),再试一下!drvobj命令,总算没有白费功夫,曲线达成目标:

kd> !drvobj 8e54baf8 7
Driver object (8e54baf8) is for:
 \Driver\wdffeatured
Driver Extension List: (id , addr)
(862ecd8a a4a06068)  
Device Object list:
b0a90390  

DriverEntry:   a82224e0	wdffeatured!FxDriverEntry
DriverStartIo: 00000000	
DriverUnload:  a82225cc	wdffeatured!FxStubDriverUnload
AddDevice:     862b09de	Wdf01000!FxDriver::AddDevice

Dispatch routines:
[00] IRP_MJ_CREATE                      862918a0	Wdf01000!FxDevice::DispatchWithLock
[01] IRP_MJ_CREATE_NAMED_PIPE           862918a0	Wdf01000!FxDevice::DispatchWithLock
[02] IRP_MJ_CLOSE                       862918a0	Wdf01000!FxDevice::DispatchWithLock
[03] IRP_MJ_READ                        862918a0	Wdf01000!FxDevice::DispatchWithLock
[04] IRP_MJ_WRITE                       862918a0	Wdf01000!FxDevice::DispatchWithLock
[05] IRP_MJ_QUERY_INFORMATION           862918a0	Wdf01000!FxDevice::DispatchWithLock
[06] IRP_MJ_SET_INFORMATION             862918a0	Wdf01000!FxDevice::DispatchWithLock
[07] IRP_MJ_QUERY_EA                    862918a0	Wdf01000!FxDevice::DispatchWithLock
[08] IRP_MJ_SET_EA                      862918a0	Wdf01000!FxDevice::DispatchWithLock
[09] IRP_MJ_FLUSH_BUFFERS               862918a0	Wdf01000!FxDevice::DispatchWithLock
[0a] IRP_MJ_QUERY_VOLUME_INFORMATION    862918a0	Wdf01000!FxDevice::DispatchWithLock
[0b] IRP_MJ_SET_VOLUME_INFORMATION      862918a0	Wdf01000!FxDevice::DispatchWithLock
[0c] IRP_MJ_DIRECTORY_CONTROL           862918a0	Wdf01000!FxDevice::DispatchWithLock
[0d] IRP_MJ_FILE_SYSTEM_CONTROL         862918a0	Wdf01000!FxDevice::DispatchWithLock
[0e] IRP_MJ_DEVICE_CONTROL              862918a0	Wdf01000!FxDevice::DispatchWithLock
[0f] IRP_MJ_INTERNAL_DEVICE_CONTROL     862918a0	Wdf01000!FxDevice::DispatchWithLock
[10] IRP_MJ_SHUTDOWN                    862918a0	Wdf01000!FxDevice::DispatchWithLock
[11] IRP_MJ_LOCK_CONTROL                862918a0	Wdf01000!FxDevice::DispatchWithLock
[12] IRP_MJ_CLEANUP                     862918a0	Wdf01000!FxDevice::DispatchWithLock
[13] IRP_MJ_CREATE_MAILSLOT             862918a0	Wdf01000!FxDevice::DispatchWithLock
[14] IRP_MJ_QUERY_SECURITY              862918a0	Wdf01000!FxDevice::DispatchWithLock
[15] IRP_MJ_SET_SECURITY                862918a0	Wdf01000!FxDevice::DispatchWithLock
[16] IRP_MJ_POWER                       862918a0	Wdf01000!FxDevice::DispatchWithLock
[17] IRP_MJ_SYSTEM_CONTROL              862918a0	Wdf01000!FxDevice::DispatchWithLock
[18] IRP_MJ_DEVICE_CHANGE               862918a0	Wdf01000!FxDevice::DispatchWithLock
[19] IRP_MJ_QUERY_QUOTA                 862918a0	Wdf01000!FxDevice::DispatchWithLock
[1a] IRP_MJ_SET_QUOTA                   862918a0	Wdf01000!FxDevice::DispatchWithLock
[1b] IRP_MJ_PNP                         862918a0	Wdf01000!FxDevice::DispatchWithLock

下篇预告:

好久没有更新WDF框架分析了,不是我断更了,是WDF驱动的WDFIOQUEUE实在太复杂。大家留意一下!drvobj wdffeatured输出中关于驱动DISPATCH处理函数的原型----齐刷刷统一着装为:Wdf01000!FxDevice::DispatchWithLock。这是WDF框架中分析IoQueue重要的一环,且听我下回分解

Eugene800
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg指令-!drvobj
若水的专栏
06-06 4203
!drvobj!devobj!podev!devstack"!drvobj Driver Name | PDRIVER_OBJECT pointer" 列出这个驱动创建的所有设备。kd> !drvobj /Driver/i8042prtDriver object (82158040) is for: /Driver/i8042prtDriver Extension List: (id ,
windbg为无效页面建立页面映射
lixiangminghate的专栏
01-05 854
前几天和同事扯淡,说调试驱动访问无效内存会蓝屏,好麻烦,应该让windbg自动建立一个有效的页面,这样就不用蓝屏重启了。虽然说这是扯淡,但仔细想想貌似也不是不可能实现。     首先回顾一下OS解决内存缺页简单步骤:1.搜索物理页面;2.修改虚拟地址对应的pte表的值;3.重新执行访存失败的指令。基于这样的思路,我也试了一下在windbg中手工建立内存映射(环境:win7 x32) 1.在
Windows对象 (Object) 结构
sqqsongqiqi的专栏
01-09 2308
有一篇介绍 《Windows对象 (Object) 结构》的文章 因为有太多的转载信息 不知道真实的出处了。 原文作者看到的话给了连接 我直接链接过去。 Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager
WinDbg内核调试常用命令
weixin_34221036的博客
06-29 567
查看所有驱动和设备名 lm !object \ 查看根目录 !object \device 查看所有设备名 dt _DEVICE_OBJECT XXXX 查看设备对象内容 !devobj XXXX 查看设备对象内容 !object \Driver 查看所有驱动名 dt _DRIVER_OBJECT XXXX 查看驱动对象内容 !drvobj XXXX 查看设备对象内容 !devnode ...
WinDbg preview 1.2103.1004.0 版本,亲测可用
12-01
3. **崩溃转储分析**(WindowsDMP文件):当系统出现故障WinDbg可以分析由系统生成的.dmp文件,提供详细的故障信息,包括调用堆栈、线程信息、内存状态等,帮助开发者定位问题根源。 4. **图形化界面**:WinDbg...
WinDbg_1.1910.3003.0.7z
08-05
微软WinDbg Preview 1.1910.3003.0
WinDbg Preview1.1910.3003.0
07-26
WinDbg Preview 是 WinDbg 的新版本,具有更现代的视觉效果、更快速的 Windows 和成熟的脚本体验。... 现在,WinDbg Preview 使用与 WinDbg 相同的基础引擎,因此所有命令扩展和工作流的运行仍然与从前相同。
windbg命令大全.zip
09-04
这个"Windbg命令大全.zip"压缩包包含了深入学习和掌握Windbg所必需的重要资源,特别是PDF文档"WinDBG命令行大全.pdf",它应该详细列举了各种Windbg命令及其使用方法。 Windbg命令行大全的核心知识点包括以下几个...
WinDbg 命令三部曲.mht
05-18
WinDBG命令介绍
Windbg调试工具32位和64位两个版本下载
04-16
Windbg调试工具32位和64位两个版本下载,为了方便大家学习,特此为大家提供下载。
Mac解决某些命令失效问题
diaofeiqian2641的博客
12-06 457
PS:今天安装groovy,需要设置环境变量,vim ~/.bash_profile,然后立马执行了source ~/.bash_profile。最后,发现ls,more,vim等常用命令失效了。立马就知道肯定是环境变量设置的有问题。可问题是,我想修改~/.bash_profile,而vim无法使用,在网上查询了一番后,终于在Mac社区找到了解决方法。 原因:环境变量设置出错1,在命令...
[知识小节]Windbg常用指令(笔记本)
网络安全知识分享
03-12 2651
Windbg常用指令(持续更新)1、!drvobj2、dt _DRIVER_OBJECT 地址3、 bp 设定调试断点4、P5、U6、R7、D8、 lmf9、 lmf!address eax10、 vertarget11、 !peb12、 lmvm13、 E14、 k15、 X 1、!drvobj !drvobj 扩展命令显示DRIVER_OBJECT的详细信息。 语法 !drvobj DriverObject [Flags] 参数 DriverObject 指定驱动对象。可以是DRIVER_OB
调试无符号驱动的,快速到达DriverEntry的方法——2
xum2008的专栏
01-23 1851
既上一篇,使用sxe 的指令设置异常来断驱动的主函数的方法后,我们继续学习高端调试下断的方法。 利用断加载驱动的函数的方法,同样能够达到驱动的入口。这个加载驱动的函数就是:IopLoadDriver 具体的每个系统的IopLoadDriver的偏移地址可能不同,但是,我们可以通过windbg进行调试和获取: 使用uf nt!IopLoadDriver指令,然后在反汇编
windbg : view nt!IoDriverObjectType
谢绝留言与私信
09-10 2269
/// 系统全局变量声明 extern POBJECT_TYPE *IoDriverObjectType; /// 未文档化API声明 /* kd> x nt!ObReferenceObjectBy* 805238bc nt!ObReferenceObjectByPointer = 805b1ab6 nt!ObReferenceObjectByHandle = 805b242
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5301
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
windbg 使用
代号9527
07-27 1811
使用WinDbg内核调试看雪学院,笨笨雄译安装程序基础挑选技术取得更多信息WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用的WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。本文将假定开发者熟悉一般WINDOWS操作系统和进
windbg6.12.0002.633
最新发布
07-22
### 回答1: Windbg 6.12.0002.633 是Microsoft官方提供的Windows调试工具。它是一种强大的调试器,用于分析和诊断Windows操作系统中发生的问题。Windbg可以用于调试用户模式和内核模式的应用程序。 作为一种高级调试工具,Windbg提供了各种功能和命令,以帮助开发人员定位和修复软件中的bug。它可以在程序崩溃捕获详细的调试信息,并分析导致崩溃的原因。通过使用Windbg,开发人员可以查看变量的值、调用栈、线程状态等信息,以便更好地理解程序的执行过程和内部结构。 除了基本的调试功能外,Windbg还提供了一些高级的功能,如内存分析、性能分析和追踪。开发人员可以使用Windbg来分析程序的内存使用情况,查找内存泄露和内存损坏问题。此外,Windbg还可以用于分析程序的性能瓶颈,帮助开发人员找到性能优化的方向。 总之,Windbg是一个强大的调试工具,可以帮助开发人员解决软件中出现的各种问题。通过使用Windbg,开发人员可以深入了解程序的内部机制,准确地定位问题,并快速地进行修复。 ### 回答2: Windbg6.12.0002.633是微软开发的一款调试工具,主要用于Windows操作系统的内核和应用程序的调试。它是Windows驱动程序开发和崩溃分析领域最受欢迎的调试工具之一。 Windbg6.12.0002.633具有强大的调试功能和丰富的调试命令,能够提供全面的调试信息和分析能力。它可以与符号服务器和调试扩展进行集成,以便更好地支持各种调试场景。 Windbg6.12.0002.633通过分析可执行文件的运行状态,可以帮助开发人员快速定位和解决程序中的bug和崩溃问题。它可以提供堆栈跟踪信息,显示线程状态和资源使用情况,查看内存中的变量和对象等等。开发人员可以通过这些信息提高调试效率,加快问题解决的速度。 此外,Windbg6.12.0002.633还拥有强大的内核调试功能,可以用于分析Windows内核驱动程序的运行情况。它可以与微软内核模式调试器KD一起使用,提供对内核服务、驱动程序和操作系统的完全访问权,使开发人员可以深入了解和调试系统的内部工作原理。 总之,Windbg6.12.0002.633是一款功能强大的调试工具,对于开发人员来说是一个宝贵的资源。它可以帮助开发人员提高调试效率,解决程序中的问题,提升软件质量。 ### 回答3: Windbg 6.12.0002.633是一款由微软提供的高级调试工具。它是一种非常强大而且灵活的工具,广泛应用于Windows操作系统的开发与调试过程中。 首先,Windbg 6.12.0002.633可以用于对应用程序、驱动程序或操作系统进行调试。它提供了各种功能来帮助开发人员分析应用程序或系统在运行的问题。通过Windbg,开发人员可以查看具体的错误信息,堆栈跟踪,寄存器状态等,以便更好地理解代码执行的情况。 其次,Windbg 6.12.0002.633还支持远程调试功能。这意味着开发人员可以通过网络连接到远程计算机并进行调试。这对于调试在远程服务器上运行的应用程序或系统特别有用。远程调试功能使得开发人员可以在实际环境中进行调试,从而更好地解决问题。 此外,Windbg 6.12.0002.633还内置了一些实用的调试命令。这些命令可以用于查看和修改内存,设置断点,单步执行代码等。这些命令的强大功能可以帮助开发人员快速定位并解决问题。 总之,Windbg 6.12.0002.633是一款功能强大且灵活的调试工具,它可以帮助开发人员解决应用程序或系统中的问题。无论是本地调试还是远程调试,Windbg都能提供全面的支持,并以其丰富的功能和实用的命令帮助开发人员更好地理解和解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值