关于内和调试无法查看ntdll内存的问题

已于 2022-07-29 12:08:46 修改
阅读量457 收藏
点赞数
分类专栏: 安全 文章标签: windows
于 2022-07-29 11:34:10 首次发布
我是https://wochinijiamile.blog.csdn.net/的博主,手贱把号注销了
本文链接:https://blog.csdn.net/ma_de_hao_mei_le/article/details/126051148
版权

友链

鸣谢
参考:

在这里插入图片描述
在这里插入图片描述

在内核调试下,用户空间的内存是否可以访问,取决于当前的进程上下文,而ntdll就是加载在用户空间的

64位
在这里插入图片描述32位
在这里插入图片描述

可以看到都是在用户空间内存范围的

使用windbg的.process命令可以让内核调试器使用指定的用户模式下的进程作为进程上下文,这样一来调试器就可以访问到该进程的虚拟内存空间了

可以先放行目标机器执行流程g,然后在目标机器上起一个notepad.exe进程(记事本)

然后在windbg上break,切换进程上下文

kd> !process 0 0 notepad.exe
PROCESS 84812a60  SessionId: 1  Cid: 0450    Peb: 7ffd6000  ParentCid: 0518
    DirBase: 3f2b4260  ObjectTable: 93e5c7a8  HandleCount:  58.
    Image: notepad.exe

kd> .process /i /p /r 84812a60  
You need to continue execution (press 'g' <enter>) for the context
to be switched. When the debugger breaks in again, you will be in
the new process context.
kd> g
Break instruction exception - code 80000003 (first chance)
nt!RtlpBreakWithStatusInstruction:
82a6d03c cc              int     3
kd> .process
Implicit process is now 84812a60
kd> .context
User-mode page directory base is 3f2b4260
kd> !peb
PEB at 7ffd6000
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         00a10000
    NtGlobalFlag:             0
    NtGlobalFlag2:            0
    Ldr                       77718880
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 001318f8 . 0013ecb0
    Ldr.InLoadOrderModuleList:           00131868 . 0013eca0
    Ldr.InMemoryOrderModuleList:         00131870 . 0013eca8
            Base TimeStamp                     Module
          a10000 559ea6ff Jul 10 00:53:19 2015 C:\Windows\system32\notepad.exe
        77640000 5b626fd1 Aug 02 10:43:29 2018 C:\Windows\SYSTEM32\ntdll.dll
        75740000 5b1aa77a Jun 08 23:57:46 2018 C:\Windows\system32\kernel32.dll
        75670000 5b1aa77b Jun 08 23:57:47 2018 C:\Windows\system32\KERNELBASE.dll
        77390000 5b626f21 Aug 02 10:40:33 2018 C:\Windows\system32\ADVAPI32.dll
        75a40000 4eeaf722 Dec 16 15:45:38 2011 C:\Windows\system32\msvcrt.dll
        77790000 556362e4 May 26 01:59:00 2015 C:\Windows\SYSTEM32\sechost.dll
        777e0000 5b626f6c Aug 02 10:41:48 2018 C:\Windows\system32\RPCRT4.dll
        75d30000 59b2b2c3 Sep 08 23:09:55 2017 C:\Windows\system32\GDI32.dll
        75df0000 58249e2b Nov 11 00:19:55 2016 C:\Windows\system32\USER32.dll
        75cc0000 5b4230d2 Jul 08 23:42:10 2018 C:\Windows\system32\LPK.dll
        766a0000 59946079 Aug 16 23:10:49 2017 C:\Windows\system32\USP10.dll
        759c0000 4ce7b82d Nov 20 19:59:41 2010 C:\Windows\system32\COMDLG32.dll
        75cd0000 4ce7b9e2 Nov 20 20:06:58 2010 C:\Windows\system32\SHLWAPI.dll
        74330000 553a8345 Apr 25 01:54:13 2015 C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.7601.18837_none_41e855142bd5705d\COMCTL32.dll
        76740000 5b213e7c Jun 13 23:55:40 2018 C:\Windows\system32\SHELL32.dll
        72600000 4ce7ba4b Nov 20 20:08:43 2010 C:\Windows\system32\WINSPOOL.DRV
        774e0000 5b1aa6f9 Jun 08 23:55:37 2018 C:\Windows\system32\ole32.dll
        77440000 5add1d9b Apr 23 07:41:15 2018 C:\Windows\system32\OLEAUT32.dll
        748a0000 4a5bdb2b Jul 14 09:11:07 2009 C:\Windows\system32\VERSION.dll
        777c0000 4ce7b845 Nov 20 20:00:05 2010 C:\Windows\system32\IMM32.DLL
        761e0000 59b94a4c Sep 13 23:10:04 2017 C:\Windows\system32\MSCTF.dll
        75330000 5b626815 Aug 02 10:10:29 2018 C:\Windows\system32\CRYPTBASE.dll
        741b0000 4a5bdb38 Jul 14 09:11:20 2009 C:\Windows\system32\uxtheme.dll
        73e70000 559eb13d Jul 10 01:37:01 2015 C:\Windows\system32\dwmapi.dll
    SubSystemData:     00000000
    ProcessHeap:       00130000
    ProcessParameters: 00131088
    CurrentDirectory:  'C:\Users\x\'
    WindowTitle:  'C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk'
    ImageFile:    'C:\Windows\system32\notepad.exe'
    CommandLine:  '"C:\Windows\system32\notepad.exe" '
    DllPath:      'C:\Windows\system32;;C:\Windows\system32;C:\Windows\system;C:\Windows;.;C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\'
    Environment:  001307f0
        =::=::\
        ALLUSERSPROFILE=C:\ProgramData
        APPDATA=C:\Users\x\AppData\Roaming
        CommonProgramFiles=C:\Program Files\Common Files
        COMPUTERNAME=WIN-R59CTBAGARF
        ComSpec=C:\Windows\system32\cmd.exe
        FP_NO_HOST_CHECK=NO
        HOMEDRIVE=C:
        HOMEPATH=\Users\x
        LOCALAPPDATA=C:\Users\x\AppData\Local
        LOGONSERVER=\\WIN-R59CTBAGARF
        NUMBER_OF_PROCESSORS=1
        OS=Windows_NT
        Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\
        PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
        PROCESSOR_ARCHITECTURE=x86
        PROCESSOR_IDENTIFIER=x86 Family 6 Model 165 Stepping 3, GenuineIntel
        PROCESSOR_LEVEL=6
        PROCESSOR_REVISION=a503
        ProgramData=C:\ProgramData
        ProgramFiles=C:\Program Files
        PSModulePath=C:\Windows\system32\WindowsPowerShell\v1.0\Modules\
        PUBLIC=C:\Users\Public
        SESSIONNAME=Console
        SystemDrive=C:
        SystemRoot=C:\Windows
        TEMP=C:\Users\x\AppData\Local\Temp
        TMP=C:\Users\x\AppData\Local\Temp
        USERDOMAIN=WIN-R59CTBAGARF
        USERNAME=x
        USERPROFILE=C:\Users\x
        windir=C:\Windows
        windows_tracing_flags=3
        windows_tracing_logfile=C:\BVTBin\Tests\installpackage\csilogfile.log

.reload /f重新加载

在这里插入图片描述

就好了

ma_de_hao_mei_le
关注
专栏目录
Visual Leak Detector内存泄漏检测机制源码剖析
dvlinker的技术专栏
10-10 1万+
Visual Leak Detector内存泄漏检测机制源码剖析
Visual Leak Detector工作原理
weixin_34417183的博客
04-02 196
Visual Leak Detector工作原理 下面让我们来看一下该工具的工作原理。 在这之前,我们先来看一下Visual C++内置的内存泄漏检测工具是如何工作的。Visual C++内置的工具CRT Debug Heap工作原来很简单。在使用Debug版的malloc分配内存时,malloc会在内存块的头中记录分配该内存的文件名及行号。当...
调试NTDLL加载
weixin_30314813的博客
11-18 225
1 随便切到一个进程 0: kd> !process 0 0 explorer.exePROCESS 8157e9a8 SessionId: 0 Cid: 06a4 Peb: 7ffde000 ParentCid: 0688 DirBase: 01f401e0 ObjectTable: e1f44840 HandleCount: 341. Image: Expl...
电脑出现ntdll.dll错误模块是什么情况?常见ntdll.dll修复的问题
最新发布
szcsd123456789的博客
06-28 1954
在使用基于Windows的系统和软件时,可能会遇到各种错误消息。其中,“ntdll.dll错误模块”是一个用户经常报告的问题,这个问题不仅会导致应用程序崩溃,还可能影响整个操作系统的稳定性。为了帮助用户更好地理解和解决这一问题,本文将深入探讨 ntdll.dll 的错误原因、可能产生的影响以及具体的解决方案。
请问一个问题:Debug下调试,出现NTDLL.DLL Initialization Fail
hawksunbi的专栏
06-19 1906
人写一程序,编译都可通过,但打开.exe时总出错Debug下调试,出现NTDLL.DLL Initialization Fail。调试时不能进入InitInstance()连构造的****Dlg theApp也运行不到。不知是什么原因?还请各位大侠指教。
vc调试:费解的NTDLL断点
07-20 394
我们在调试程序的过程中,有时会突然的显示一个对话框,上面显示这样一条信息:        User breakpoint called from code at 0x77fa018c 或者是       Unhandled exception at 0x77f767cd (ntdll.dll) in myapp.exe: User breakpoint. 不过我遇到过的都是第一条信
VS2008突然调试程序很慢,加载 ntdll.dll,kernel32.dll 都要花一段时间
Roc Cliff
10-20 2474
以前出现过一次,是重装了VS解决的,这次偶然 终止了内存中的 mspdbsrv.exe就解决了
解决windbg无法加载ntdll符号的问题
ma_de_hao_mei_le的博客
07-16 2107
将debugee的C\windows\syswow64中的ntdll拷贝到debugger的本地随便一个目录,只要别在symbolpath中就行。然后把这个目录添加到imagefilepath里面(Ctrl+I)我这里调试的是64bit操作系统的内核。然后执行如下两条命令即可。...
ntdll.lib和ntdll.h文件压缩包
04-11
ntdll.lib和ntdll.h是Windows操作系统中非常关键的组件,它们构成了Windows系统核心与应用程序之间的接口。在深入探讨这两个文件之前,我们首先需要理解Windows系统的基本架构。 ntdll.dll(动态链接库)是Windows ...
src4.rar_NtContin_Ntdll.ntcontinue_ntdll
09-19
在IT领域,尤其是在系统编程和逆向工程中,理解和利用调试寄存器机制以及系统库函数是至关重要的技能。本文将深入探讨标题“src4.rar_NtContin_Ntdll.ntcontinue_ntdll”所涉及的核心知识点,包括调试寄存器、ntdll....
使用Windbg分析多线程临界区死锁问题分享
热门推荐
dvlinker的技术专栏
01-03 4万+
使用Windbg分析多线程临界区死锁问题分享。
查看DLL 内部函数工具
04-11
查看导入函数有助于理解DLL的运行环境和依赖性,这对于解决“找不到入口点”或“无法启动”等错误非常有用。 3. **资源信息**:DLL中可能包含各种资源,如字符串、图标、位图等。这些资源在应用程序中用于显示图形...
利用PEB隐藏进程模块
m0_52333150的博客
02-02 301
PEB模块隐藏
Win7安装node失败【'node'不是内部或外部命令,也不是可运行的程序】的解决方案和环境配置
weixin_47582474的博客
05-10 1944
nodejs安装地址:http://nodejs.cn/download/ 点击下载,一直点击下一步即可。.msi与.zip区别:MSI文件的功能其实就是OFFICE软件的安装程序,可以安装,也可以修复或删除你所安装的程序,.zip是压缩包,解压即可,无需安装。 验证安装是否成功,点击键盘快捷键win+r弹出命令窗口,输入node -v(注意!注意中间有空格) 如出现此页面,则安装成功! 安装不成功,则出现以下页面,重点~ 'node'不是内部或外部命令,也不是可运行的程序 ..
cmd查看环境变量
dianti5444的博客
10-14 4669
1、查看当前所有可用的环境变量:输入 set 即可查看。 2、查看某个环境变量:输入 “set 变量名”即可,比如想查看path变量的值,即输入 set path 3、修改环境变量 :输入 “set 变量名=变量内容”即可,比如将path设置为“d:\hacker.exe”,只要输入set path="d:\nmake.exe"。注意,此修改环境变量是指用现在的内容去覆盖以前的内容,...
Windows 7 环境变量问题导致TeXLive 安装失败修复方法 (基本适用于Windows 10)
weixin_34404393的博客
12-20 1895
2019独角兽企业重金招聘Python工程师标准>>> ...
windows error code list
yuanlanxiaup
01-12 533
0 The operation completed successfully. ERROR_SUCCESS 1 Incorrect function. ERROR_INVALID_FUNCTION 2 The system cannot find the file specified. ERROR_FILE_NOT_FOUND 3 The system...
windbg加载dmp文件 跟踪内存泄漏或程序崩溃位置 ntdll.pdb缺少
hlday6的专栏
12-03 3926
前提:将要调试的exe 文件,pdb文件,dmp文件拷贝到同一路径下   E:\test_projects\ConsoleApplication3\Debug;srv*E:\test_projects\ConsoleApplication3\Debug*https://msdl.microsoft.com/download/symbols 1:设置windbg 的符号路径:   E:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值