windbg中ntsd使用用户态调试器链接到内核调试器的常用技巧

最新推荐文章于 2022-09-03 11:58:48 发布
最新推荐文章于 2022-09-03 11:58:48 发布
阅读量244 收藏
点赞数
始于C#,精于C&C++,醉心于Windows内核与Com组件安全研究
本文链接:https://blog.csdn.net/oShuangYue12/article/details/110946867
版权 
启动方法,可以不加-g表示启用初始化断点
在gflags中启用FLG_ENABLE_KDEBUG_SYMBOL_LOAD
添加xxx.exe调试器为ntsd.exe -d -x -g 
效果为增加以下注册表项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution 
也可以以下命令行启动用户态调试器链接到内核调试器
ntsd.exe -d -x -g xxx.exe
Options\xxx.exe\Debugger 
接下来看到内核调试器加载触发断点,以下常用方法
需要SeDebugPrivilege,直接切换到内核调试模式
.breakin 
表示睡眠5000毫秒到内核调试器,睡眠结束后返回用户态调试器
.sleep 5000
列举用户态进程
.tlist -v
从内核态直接返回用户态调试器
 !bpid pid
 也可以用这个方法,结束睡眠返回用户态调试器
 .wake pid
王cb
关注
windows调试工具(windbg KD CDB NTSD)实例详细介绍.pdf
12-12
windbg调试工具详解,非常全面的讲解了windbg工具的原理使用以及命令,每个命令都附有详细实例介绍,是快速入门提高windbg调试windows程序的一本利器。
Windbg调试命令详解
Boy_Kris的专栏
02-28 2527
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户调试,上述三者的一个共
windbg内核用户远程调试的几种方法
如鹿渴慕泉水的专栏
04-08 540
先设置相同的符号变量在环境变量 _NT_SYMBOL_PATH SRV*C:\symbols*http://msdl.microsoft.com/download/symbols 第一种方法 //在target启动 C:\windbg\x86\cdb.exe -server tcp:port=8456 "C:\calc.exe" //然后windg connect to remote sessi...
ntsd.exe
是什么|病毒|病毒专杀工具|进程错误
06-06 5163
NTSD使用手册 NTSD(Microsoft Windows NT Symbolic/Systems Debugger)是Windows 2000默认安装的一 个调试器,可惜没怎么看到人提这个东西。这其实是一个命令行版本的WinDBG,功能上稍微 缩了一点水,但是对一般的调试来说是足够用了。这个东西好就好在凡是Windows 2000都有, 而且只要开个终端服务或者VNC 就可以远程用。最近看溢
总在用户调试 C# 程序,终还是搭了一个内核环境
一线码农的专栏
09-03 483
一直在用 WinDbg 调试用户程序,并没有用它调试过 `内核`,毕竟不是做驱动开发,也没有在分析 dump 需要接触用内核的需求,但未知的事情总觉得很酷,加上最近在看 《深入解析 Windows 操作系统》 一书,书有不少案例需要深入到 `内核` ,所以这篇准备整理一下如何用 WinDbg 调试 C# 内核吧。从新老Windbg截图,可以清晰的看到,这个的 `Child-SP` 线程栈终于对接上了,也就验证了图上所说:`ntdll!现在可以调试 `内核` 那何不试试看呢?
使用WinDbg内核调试
04-28
特别对于驱动开发者使用WinDbg和KD这两个内核调试器(CDB和NTSD用户调试器)。本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。...
Windows 调试工具(WinDbg、KD、CDB、NTSD)说明文档.pdf
08-09
WinDbg是最常用且功能强大的调试器,可用于用户模式和内核模式的调试。它提供了丰富的命令集和图形界面,帮助开发者分析崩溃转储文件,查找系统崩溃的原因,以及调试驱动程序和应用程序。WinDbg预览版引入了更多新...
Windows用户调试器原理
系统运维
01-29 190
Windows用户调试器原理 Windows操作系统提供了一组API来支持调试器。 这些API可以分为三类: 创建调试目标的API; 在调试循环处理调试事件的API。 查看和修改调试目标的API。 接下来将会分别对这三种API进行介绍。 创建调试目标 在调试器工作之前,需要创建调试目标。用户调试器有两种创建调试目标的方法:一是创建新进程,二是附加到一个运行的进程。采用这两种方...
Windbg 内核调试用户进程
蛋蛋的忧桑Y的博客
03-16 590
之前写过双机调试环境的搭建,一般用来调试驱动这样内核的东西,今天遇到一个问题,就是在内核的情况下怎么给用户的程序下断点?也就是在内核怎么调试用户的程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
Windows用户调试器原理
sunliangyuan的专栏
01-27 1320
Windows操作系统提供了一组API来支持调试器。     这些API可以分为三类:     创建调试目标的API;     在调试循环处理调试事件的API.     查看和修改调试目标的API.     接下来将会分别对这三种API进行介绍。     创建调试目标     在调试器工作之前,需要创建调试目标。用户调试器有两种创建调试目标的方法:一是创建新进程,二是附加到一个运
ntsd.exe 用户进程调试工具
07-10
ntsd是一个用户进程调试工具,从Windows 2000就开始被附随在System32目录下。它能够结束除System、smss.exe、csrss.exe、lsass.exe及各种rootkit程序外所有的程序。但在Windows Vista及以上版本的Windows不含ntsd, 必须手动下载至电脑才可使用。(来自360百科)
win8能用的ntsd.exe 超强结束进程
10-27
通过AVG杀毒,不放心的话就跳过吧。 NTSD的功能非常的强大,用它强行结束某个比较顽固的进程还是很好用的,基本上除了WINDOWS系统自己的管理进程,ntsd几乎都可以杀掉。XP下是自带的,但是Win8没有,下载后解压到C:/windows/system32下,然后在cmd下,就可以进行操作了。 命令格式: ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省) ntsd -c q -p PID 命令范例:ntsd -c q -pn explorer.exe
win7 下可以用的 ntsd.exe
11-02
win7 下可以用的 ntsd.exe 今天有个进程无响应,想要调用NTSD命令才发现,windows7里没有ntsd.exe 于是发一个ntsd.7z 上来,让大家使用。 可用于强制结束进程,将此文件解压在win7,C盘windows文件夹下即可 64位请用http://download.csdn.net/source/3578423
mspdbcore.dll
03-13
给需要的朋友们,一些VS2005碰到的问题
Win7 x64 和 x86 (64位和32位)下使用NTSD.exe (两个版本亲测可用)
02-07
从XP系统提取出的神器,包括两个版本,一个32位系统支持,一个64位系统支持,可以在Win7 下完美运行,支持win7 32位 和 win7 64位
ntsd.exe 附使用教程
qq_48138138的博客
04-14 3776
ntsd.exe是Microsoft Windows系统自带的用户调试工具,可以用于强制结束System、SMSS.EXE、CSRSS.EXE以外的所有进程,有时候系统某些进程无法结合,可以使用ntsd强制结束。其实是一个命令行版本的WinDBG,功能上稍微缩了一点水,但是对一般的调试,有时也会配不法分子利用,作为病毒的形式,强制结束其他软件,本站提供ntsd.exe下载且结尾附加了处理防病毒处理教程,希望可以帮助到你,快来下载收藏吧。 ntsd.exe 安装说明 出现提示缺少exe文件问题的
ntsd的两个技巧
ytfhjhv的博客
11-17 689
ntsd的两个技巧
Windows 系统debug级 进程调试工具 ntsd 详解
rznice的专栏
09-09 4013
ntsdWindows 2000开始就是系统自带的进程调试工具,在system32目录下。NTSD的功能非常的强大,用法也比较复杂,但如果只用来结束一些进程,那就比较简单了。在Windows只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核的,最后那个是Win32子系统,ntsd本身需要它。lsass.exe也不要杀掉,它是负责本地账户安全的。被调试器附着(atta
WinDbg入门教程(2)-各种调试场景介绍
陈锋-TechBlog
10-11 4794
调试场景远程调试使用WinDbg进行远程调试是很容易的,而且有很多种可行的方法。在下文,’调试服务器’指的是运行在你所要调试的远程机器上的调试器。’调试客户端’指的是控制当前会话的调试器。·         使用调试器:你需要CDB, NTSD或者WinDbg已经安装在远程机器上。WinDbg客户端可以连接到CDB, NTSD或者WinDbg的任何一个作为服务器,反之亦然。在客户端
WinDbg教程:微软调试器全面指南
"Windbg使用手册是一份详细介绍Windbg工具使用方法的文档,涵盖了Microsoft的四种调试器Windbg、KD、CDB和NTSD,适用于x86、Itanium、x64架构的处理器及所有基于NT内核Windows操作系统。文档还指出CDB和NTSD...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值