WINDBG 驱动调试命令

最新推荐文章于 2023-02-01 21:35:45 发布
最新推荐文章于 2023-02-01 21:35:45 发布
阅读量811 收藏 2
点赞数
文章标签: 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/menghuan860/article/details/120561660
版权

windbg 符号加载

首先添加符号,打开 windbg 工具栏 file->Symbol File Path ....  写入路径如下所示

SRV*E:\\tools\win7-sp1-x86*

然后勾选左下角的Reload , 确定

执行下面执行强制加载符号

kd> .reload /f

查看是否加载了符号 

kd> lm

如果在模块后面出现 符号的路径就表示成功了,有些没有加载成功,没关系。

无符号调试驱动的两种方法

方法一:用loadPE打开驱动,查看OEP(路口点地址)如下所示

然后在windbg中执行如下命令进行下断点

kd> bp 驱动名称不含扩展名+0x6000

 运行windbg后,使用工具加载驱动,驱动启动后会自动断下来

方法二:有时以上方法断不下来,就需要用到该方法,首先loadPE打开驱动文件,将OEP复制,然后点击位置计算器,将路口点粘贴,计算。

 

 将路口点的第一个字节改成cc,让程序断下来,记得保存。(需要记住被修改的值,一般情况下为0x55。)

保存好后从新计算一下校验和     点击?然后保存退出

 不用下断点,当程序加载执行后windbg 会断下来,这时只需将该位置的汇编改回来就可以在路口点调试了

kd> eb eip 0x55

windbg指令

1. 清屏命令

kd> .cls

2. u命令(反汇编)

kd> u .

查看当前的8条反汇编

kd> u . L30

查看当前0x30条反汇编

kd> uf .

反汇编当前整个函数

kd> ub .

反汇编之前的8条指令

设置断点命令bu bp bm ba

下断点可以是地址也可以是函数名

kd> bu NT!ZwCreateFile

1) bu bp bm设置软件断点

a). bp设置地址关联的断点

b). bu设置符号关联的断点

c). bm支持设置含通配符的断点,可以一次创建一个或多个bu或bp (bm /d)断点

bp和bu的主要区别

a) bp所设断点和地址关联,如果模块把该地址的指令移到其它地方,断点不会随之移动,而是依然关联在在原来的地址上; 而bu所设断点是和符号关联,如果符号的地址改变了,断点依然保持和原来的符号关联。

b) 如果bp所设断点的地址在加载的模块中被找到,后来软件模块被卸载,断点会被自动移除;而bu所设断点则会一直存在。

c) bp设置的断点不会被保存windbg的workspace中,bu设置的断点会则会被保存下来。

2)ba设置硬件断点(数据断点)

硬件断点是指当一个内存地址被访问(读、写、执行)或IO端口被访问时触发的断点。


其它命令bl bc bd be .bpcmds

bl 列举所有断点和它们的状态

bc 删除对应断点

bd 禁用对应断点

be 启用对应断点

.bmcmds 列举所有断点以及创建它们的命令

menghuan860
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4168
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
windbg命令整理
qq_41883523的博客
10-13 219
windbg命令整理基础命令调试命令模块信息调试符号线程栈设置断点 基础命令 说明 命令 用法 描述 帮助 ?/.help/.hh ?/.help/.hh 常规命令/元命令/打开windbg help文档 清空屏幕 .cls .cls 清空屏幕 查看异常信息 .excr/.lastevent/.exr -1/!analyze !analyze -v/!analyze -hang/!analyze -f 显示当前异常信息/分析线程栈,看是否有线程blocking其他线程/See an
驱动调试中怎么样让windbg停在DriverEntry
xum2008的专栏
01-18 2673
一般说来,调速驱动程序分为两种: 1.存在PDB文件的调试: 这里的PDB文件其实就是调试符号文件,假如我们调试的这样的文件,我们可以再windbg中使用 :bp  驱动名!DriverEntry,这个时候当加载驱动的时候,程序就会断在入口了。 2.没有PDB文件的调试: 在调试别人的驱动程序时,也就是自己只有bin,并且在这个bin没有PDB文件,以及你没有它的代码。这种
windbg调试驱动程序
霜剑道人
06-09 639
1、配置符号 去下面路径下载对应目标操作系统版本的符号表 https://download.microsoft.com/download/D/1/9/D196C4F3-FC5B-48D2-A5D9-D3D42CE5F4F0/Windows_Rs1.14393.0.160715-1616.x64FRE.Symbols.msi https://download.microsoft.com/download/D/1/9/D196C4F3-FC5B-48D2-A5D9-D3D42CE5F4F0/Windows
在windows 7用WinDBG调试时显示KdPrint信息
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
02-09 5713
在windows 7/vista/2008用WinDBG调试时显示KdPrint信息 收藏 在注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager 新建一项Debug Print Filter, 新建一个DWORD值,名称为DEFAULT,(注意:必须全部是大写) 值
【003 指令】常用的驱动开发指令
kashine的博客
02-01 387
modprobe:可载入指定的个别模块,或是载入一组相依的模块。modprobe会根据depmod所产生的相依关系,决定要载入哪些模块。若在载入过程中发生错误,在modprobe会卸载整组的模块。移除已经加载的模块: modprobe -r 模块名。显示开机信息,Linux内核启动时会加载硬件驱动,在有新硬件时也会加载驱动,如果想要查看内核的活动,可以使用dmesg命令。lsmod:显示已经加载到内核中的模块的状态信息,并查看模块的依赖关系。2、Linux驱动如何查看驱动模块中打印信息?
WinDbg驱动调试工具
最新发布
05-12
本篇文章将深入探讨WinDbg驱动调试中的应用,以及其核心功能和使用技巧。 1. **WinDbg的界面与基本操作** - WinDbg分为命令行模式和图形用户界面模式,新手通常更倾向于使用GUI。 - 开始调试前,需要设置符号...
windbg 驱动调试
01-22
Windbg,全称为Windows Debugger,是一款强大的调试工具,主要用于Windows操作系统和驱动程序的调试。它由微软公司开发,是系统级调试的首选工具,尤其在驱动程序开发和故障排除过程中扮演着至关重要的角色。 首先...
windbg驱动调试[归纳].pdf
10-12
Windbg驱动调试详解》 Windbg是一款强大的Windows系统调试工具,尤其在驱动程序调试方面具有广泛的应用。本文将详细阐述如何在VMware虚拟机环境下,利用Windbg进行驱动调试的全过程。 首先,我们需要搭建调试...
windbg 虚拟机调试usb驱动 环境搭建
06-27
在设备管理器中手动加载WDK自带的USB驱动示例,这样就可以开始实际的驱动调试过程。通过这种方式,开发者可以深入理解USB驱动的工作原理,找出并修复可能存在的问题。 总结来说,构建一个有效的Windbg虚拟机调试...
Windbg调试工具
08-05
3. **命令行操作**:Windbg提供了一套丰富的命令行接口,允许用户输入调试命令来执行各种操作。这些命令涵盖了从基本的控制流程(如`g`继续执行,`kb`查看堆栈)到高级的内存和注册表查询。 4. **符号处理**:...
WinDbg 内核调试指南
12-27
Windows下的驱动调试工具,挺方便的,用的比较多的是借助它分析蓝屏信息
Windows 11 版本 WDK中windbg调试插件
07-22
1. **增强的调试功能**:插件可能会添加新的调试命令,帮助开发者更方便地分析驱动程序的行为。 2. **自动化脚本**:可能包含预定义的脚本或宏,简化重复的调试步骤。 3. **Windows 11兼容性**:针对Windows 11的...
windbg调试入门系列
10-12
首次打开可能需要设置符号路径,以获取微软公开的系统符号文件,这对于调试系统进程和内核模式驱动非常重要。 2. 加载调试目标:你可以通过"File" -> "Open Executable"来加载要调试的进程,或者直接使用命令`g`...
【WIN】WinDBG 常用命令整理
此地无银
03-12 2415
windbg命令整理
为什么有时候在Windbg中下断点下不了呢??
diaoyo2388的博客
11-14 590
1、今天我发现我下断点的地方是我声明的变量,变量还仅仅是声明,没有赋值。因此不能下断点。 2、当不能下断点时,如何解决呢? (1)重启Vmware虚拟机。(2)在虚拟机中恢复“快照”。 转载于:https://www.cnblogs.com/meihao1989/p/4097994.html...
windbg 驱动调试环境(virtualbox, vmware)
在线笔记
01-15 728
windows 7 bcdedit /copy {current} /D DebugEntry (administrator) msconfig,启用DebugEntry调试 WinDbg 桌面创建快捷方式,属性,目标 "C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x64\windbg.exe"
基于网络的内核调试
Changju博客
12-11 2848
驱动调试需要用到两台机器,目前主要是通过串\口、usb或者1394接口来连接。对于软设备驱动来说就多了一种选择,通过vmware等虚拟化软件来虚拟测试机。但有些情况下必须在真实的双机环境进行,如真实设备驱动调试,以及其他驱动无法在虚拟机上运行的情况,这时就要考虑用什么接口来连接了。串口的优点是它属于标配,几乎每个PC主板上都有,串口线也便宜,另外就是所有的windows系统都支持串口调试,所以很
WinDbg内核调试入门教程
在基础部分,教程讲解了基本的调试命令,这些命令是所有调试工作的核心,如设置断点、查看内存、跟踪调用堆栈等。此外,还介绍了常用调试命令,这些命令在日常调试过程中非常实用。这部分内容有助于开发者理解操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值