windbg命令

最新推荐文章于 2024-08-07 22:27:04 发布
最新推荐文章于 2024-08-07 22:27:04 发布
阅读量286 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq726232111/article/details/110480768
版权

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/commands

.sympath H:\Symbol\LocalSymbol;srv*H:\Symbol\MicrosoftSymbol*https://msdl.microsoft.com/download/symbols  ->  设备本地符号目录;从符号服务器获取文件并保存到指定目录

.reload /f -> 强制调试器立即加载符号。此参数覆盖延迟的符号加载。

 

 

dt -> 显示有关局部变量、全局变量或数据类型的信息,显示有关简单数据类型以及结构和联合的信息

dt nt!_eprocess ->  查看EPROCESS结构信息

dt nt!_kprocess ->  查看KPROCESS结构信息

dt nt!_ethread ->  查看ETHREAD结构信息

dt nt!_kthread ->  查看KTHREAD结构信息

dt nt!_irp -> 查看IRP结构信息

dt nt!_kevent ->  查看KEVENT结构信息

dt nt!_kmutant ->  KMUTANT 结构信息

dt nt!_ksemaphore -> 查看KSEMAPHORE结构信息

dt _teb -> 查看TEB结构信息

dt _nt_tib -> 查看NT_TIB结构信息

dt _peb -> 查看PEB结构信息

dt _LDR_DATA_TABLE_ENTRY -> 查看_LDR_DATA_TABLE_ENTRY结构信息,用于遍历内核模块

 

 

 

!teb -> 查看TEB的信息

!peb -> 查看PEB的信息

!thread -> 查看线程信息

!process  ->  查看进程信息

!process 0 0 -> 显示所有进程与其最小数量的信息;语法!process process [flag]

!irp ->  显示有关I/O请求数据包(IRP)的信息。

!irpfind -> 显示当前在目标系统中分配的所有I/O请求数据包(IRP)或与指定搜索条件匹配的IRPs的信息

!job -> 显示作业对象

!session -> 控制会话上下文。它还可以显示所有用户会话的列表。

!vm -> 显示关于目标系统上的虚拟内存使用统计信息的摘要信息。

 

 

x86

SSDT查看

x nt!kes*des*table*

dd addressA //上一步的地址

dds addressB L11C //上一步中获取的地址

Shadow SSDT查看

运行mspaint.exe //加载win32k.sys

!process 0 0  //查询mspaint.exe的EPROCESS

.process /p mspaint //切换至mspaint进程

x nt!kes*des*table*

dd addressA //上一步的地址

dds addressB L11C //上一步中获取的地址

 

x64

SSDT查看

x nt!kes*des*table*

dqs addressA //上一步的地址

dd addressB  //上一步中获取的地址 SSDT

u  addressB + ([addressB]>>4)  //SSDT + ([SSDT*4]>>4) = 函数起始地址

Shadow SSDT查看

运行mspaint.exe //加载win32k.sys

!process 0 0  //查询mspaint.exe的EPROCESS

.process /p mspaint //切换至mspaint进程

x nt!kes*des*table*

dqs addressA //上一步的地址

dd addressB  //上一步中获取的地址 SSDT

u  addressB + ([addressB]>>4)  //SSDT + ([SSDT*4]>>4) = 函数起始地址

 

 

i未若
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windbg命令大全.zip
09-04
这个"Windbg命令大全.zip"压缩包包含了深入学习和掌握Windbg所必需的重要资源,特别是PDF文档"WinDBG命令行大全.pdf",它应该详细列举了各种Windbg命令及其使用方法。 Windbg命令行大全的核心知识点包括以下几个...
Windbg查看进程的_EPROCESS结构
never12345678的专栏
10-15 5788
最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。大家知道,每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢?以notepad.exe为例使用Windbg的Kernel Debug,输入命令lkd> !process 0 0    //查看当前进程PROCESS 8a5e7088 SessionId: 0 Cid: 0ff0
如何使用windbg看eprocess的结构
尘埃落定
08-27 6827
安装windbg加入 symbol path  运行WinDbg->菜单->File->Symbol File Path->按照下面的方法设置_NT_SYMBOL_PATH变量:在弹出的框中输入“C:/MyCodesSymbols;SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols”(
windbg常用命令
最新发布
Simona_Wu的博客
08-07 352
scriptload : 加载 JavaScript 脚本。windbg -p : 按进程 ID 启动调试。windbg -pn : 按进程名称启动调试。F10: 单步执行,不进入函数(相当于 p)。F11: 单步执行,进入函数(相当于 t)。process 0 0: 列出所有进程。kp: 显示带参数和调用约定的堆栈调用。process: 列出当前系统的进程。lmv: 列出加载的模块及其详细信息。handle: 列出当前进程的句柄。thread: 列出当前进程的线程。.logopen : 打开日志文件。
Windows进程与线程学习笔记(一)—— 进程结构体
qq_41988448的博客
11-12 1845
Windows进程与线程学习笔记(一)—— 进程结构体&线程结构体前言进程结构体 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 进程结构体 ...
记录windbg调试使用
weixin_41725706的博客
11-05 738
x64windbg调试进程和线程结构体
如何用windbg查看_eprocess结构
weixin_30340819的博客
05-15 714
打开菜单: File->Symbol File Path... 输入: C:/MyCodesSymbols; SRV*C:/MyLocalSymbols*http://msdl.microsoft.com/download/symbols 随便绑定一个进程,然后输入 dt _eprocess 转载于:https://www.cnblogs.com/IWings/p/685...
windbg命令windbg命令windbg命令
11-11
在深入讲解Windbg命令之前,我们需要理解一些基本概念。首先,Windbg有两类主要的命令:内部命令和扩展命令。内部命令Windbg自带的,而扩展命令来自于第三方插件,如kdexts.dll或 sos.dll,它们提供了更高级的功能...
WinDbg 命令三部曲.mht
05-18
WinDBG命令介绍
WinDBG命令归总
04-11
以上仅是WinDBG命令的一部分,实际上还有更多高级功能,如内存转储分析、内核模式调试等。熟练掌握这些命令能极大提高调试效率,解决复杂的系统问题。在实际使用中,结合WinDBG的图形界面和脚本功能,可以实现更高效...
Windbg命令大全
02-21
Windbg,全称为Windows Debugger,是一款强大的调试工具,由微软公司提供,主要用于分析、调试Windows系统及...在实际使用中,配合PDF文档《Windbg命令大全》进行学习,将有助于你深入理解Windbg的精髓,提高调试技能。
windbg 查看某个进程EPOCESS结构
huanongying131的博客
12-07 2003
转:http://blog.sina.com.cn/s/blog_5ddb672b01017xrh.html windbg 查看某个进程EPOCESS结构,debugport清零 内核调试下 1. !process 0 0 列出所有进程的信息 lkd> !process 0 0 Unable to read selector for PCR for processor 0 ***...
软件调试笔记9 - Windows概要:进程结构:EPROCESS
imJaron的博客
11-23 651
下面,通过记事本程序来详细查看进程的每一项内容。 首先打开WINDBG并进入本地内核调试,然后打开记事本程序。用命令!process 0 0列出所有进程。 第一个参数0表示所有进程,第二个0表示基本的进程属性。 找到notepad.exe程序的内容。 EPROCESS结构: Process后面的地址指向的就是EPROCESS结构,很多时候WINDOW
[note]KTHREAD结构相关
a519609598的博客
05-12 296
在用户模式下,段寄存器FS指向当前线程的TEB,所以FS:[0X18]就是指针Self,其内容就是TEB的起点. 在内核模式下,FS指向的是KPCR(Kernel's Processor Control Region)结构,而 mov reg,FS:[124h]   //reg可表示eax,edx,ebx,..... 这样就能获得当前线程的指针(KTHREAD结构体) 现在...
windbg调试命令
无序代码
06-14 472
windbg调试基本设置与命令 1、首先设置File==>Symbol File Path... ==>SRV*D:\DevLib\SymbolLocal*http://msdl.microsoft.com/download/symbols 2、打开源文件Open Source File...==>D:\DemoDump\DemoDump.cpp 3、添加所调试的pdb路径File==>Sy
WinDbg基本使用
qq_43179054的博客
02-03 1964
本文主要是windbg的简介以及常用的命令介绍
Windbg命令查看IRP IO_STACK_LOACTION结构体成员
faithzzf的专栏
01-07 2287
dt命令查看结构体成员。加入 /r 递归列举每个成员(dt nt!_irp /r)。      这个是双机调试32位系统下查询的结果, 列举每个成员的偏移量,对于调试汇编代码或者逆向分析驱动是很有帮助的,汇编访问结果体成员的时候都是通过偏移值进行的。知道偏移值以及数据结构的类型,就可以知道访问的成员是那一个了。 kd> dt nt!_irp    +0x000 Type
IRP结构体之Flag成员
Vinx Blog
06-08 1298
IRP_NOCACHE //表示I/O请求从存储的媒介而不是高速缓存中读取数据 IRP_PAGING_IO //表示此时执行内存页的I/O操作 IRP_MOUNT_COMPLETION //卷挂载操作完成 IRP_SYNCHRONOUS_API //该操作是一个同步分页I/O操作。 IRP_ASSOCIATED_IRP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值