点点灵犀

异想天开的程序猿

windbg常用指令之四:虚拟内存操作指令

.dvalloc 申请虚拟内存 .dvfree 释放虚拟内存 .writemem 写内存到文件 .readmem 读文件到内存 !address 内存信息查看 !vprot 看虚拟内存保护属性 0:001> .dvalloc 1000 Allocated 1000 bytes ...

2013-06-26 21:03:15

阅读数 1292

评论数 0

windows之 访问控制模型

当一个线程使用Open*打开一个内核对象时,会发生什么? 有两种可能: 1. 打开成功,拿到句柄 2. 打开失败 这不是废话么?!为啥打开失败呢?有两种可能: 1. 当前线程不具有指定的特权 2.  权限不足(由dwDesiredAccess参数指定权限) 这个时候就引入了今天的...

2013-06-10 19:52:48

阅读数 1350

评论数 0

windows之 会话、工作站、桌面、窗口之间的关系

一个系统可以同时登录多个用户(包括远程用户登录)一个用户拥有一个会话(远程用户被称为远程会话)一个会话拥有多个工作站和窗口。只能拥有一个交互式工作站(Winsta0)。一个会话拥有一系列私有的进程和模块:Csrss.exe、WinLogin.exe、Lsass.exe、win32k.sys一个会话...

2013-06-08 22:31:25

阅读数 1799

评论数 0

获取进程token(令牌)和sd(安全描述符)

先找到windbg进程内核对象指针 lkd> !process 0 0 windbg.exe Unable to read selector for PCR for processor 0 PROCESS 8144c3a8 SessionId: 0 Cid: 02ac Peb: ...

2013-06-06 18:00:16

阅读数 2483

评论数 0

windows 异常处理

写程序的时候避免不了出现异常或Bug,windows是怎么保证异常可以被try_catch,或者调试器捕获并处理的呢?如果异常不能被处理,windows会怎么做呢? 这要从windows异常处理器说起。异常处理器顾名思义,专门处理各类异常的。异常处理器按照内核和用户模式分成了两类,处理过程不尽相...

2013-05-18 13:38:37

阅读数 1480

评论数 0

VSDebug、Ollydbg、WinDbg字符串条件断点设置方法

字符串断点在下断点时也是一个比较常用的功能。 不过网上介绍字符串断点设置技巧的文章很少,有的也不准确。 其实他们设置的方法整体来看比较简单。 VSDebug VSDebug 微软VS自带调试器套件,对字符串断点的支持依然强大。 Vs支持在断点条件中使用字符串比较函数。 ASCI...

2013-04-28 20:39:55

阅读数 1986

评论数 0

windbg之使用!list指令遍历双向链表

windows内核中大量的数据结构使用了双向链表。 如果能查看每个链表的元素,甚是美哉。 windbg就给我们提供了这么好用的功能。 !list命令是一个用来查看链表的命令,该功能非常强大并且易于使用。 下面我们就用例子来看一下!list命令的用法 使用!list遍历活动进程的进程Id和...

2013-04-27 23:38:29

阅读数 1725

评论数 0

xp与win7中_OBJECT_HEADER的区别,_OBJECT_TYPE获取方法

在win7中 _OBJECT_HEADER变化比较大。不能直接取出_OBJECT_TYPE对象,而是使用对象在ObTypeIndexTable中的索引来引用_OBJECT_TYPE。 下面使用windbg来掩饰xp和win7获取_OBJECT_TYPE的方法。 xp系统获取方法 使用!obj...

2013-04-26 23:44:07

阅读数 1774

评论数 0

尽量不要使用TerminateThread与SuspendThread

强制杀死或挂起线程会导致线程正在获取的锁资源无法释放;如果正在操作一块公共内存,可能会导致公共内存被破坏。 详细请见:http://blog.csdn.net/magictong/article/details/6304439

2013-04-24 21:15:27

阅读数 892

评论数 0

windbg 常用命令介绍(三)

.attach 附加一个进程 0:000> .attach -b 0n2168 Attach will occur on next execution 0:000> g .detach 取消调试当前进程 1:001> .detach /n Detached g 继续执行 ...

2013-04-23 05:06:21

阅读数 1209

评论数 0

windbg 常用命令介绍(二)

b 断点命令 bp/bu/bm 软件断点 bp 设置一个普通断点 bu 设置一个未决的断点,如果该断点所在模块还没加载,使用该指令 bm 对多个符号下断点 0:000> bp kernel32!LoadlibraryA 0:000> bp kernel32!Loadlibra...

2013-04-23 04:38:27

阅读数 1643

评论数 0

windbg 常用命令介绍(一)

加载符号 .symfix 设置符号路径 0:000> .symfix c:\symbols .sympath 查看设置的符号路径 0:000> .sympath Symbol search path is: srv* Expanded Symbol search path ...

2013-04-23 03:01:46

阅读数 2670

评论数 0

PE文件结构处理经验总结

这个是我原先发在看雪上的一个帖子。 本文不是讲解Pe文件格式的,而是对Pe格式编程时遇到的问题的记录和总结。 如果对Pe文件不是很熟悉,请先查阅其他人写的PE文章。   该贴是我在写加壳工具的时候遇到问题的总结。记录下来,供以后温习,希望对各位也有一定帮助。   由于本人接触该...

2013-04-21 22:22:26

阅读数 838

评论数 0

反外挂系统设计方案

该方案是参考多家反外挂系统,加上自己对反外挂了解整理而来。 整个方案包含了反外挂系统中常见的所有功能。  4.    系统框架设计方案 本系统基于C/S结构设计,包含服务器端和客户端两大部分。 服务器端主要负责策略定制与实施,并控制客户端的行为。 客户端主要负责具体的安全保护。如外挂...

2013-04-21 22:12:39

阅读数 1606

评论数 0

windows调试器之windbg

windbg是微软开发的一套调试器中的组件。 windbg由于其丰富的命令和对windows的原生支持还有其易用性,是其他其他调试器望尘莫及的。 不过,如果你只是想通过源码调试应用层程序,应该首选vc调试器。 windbg特色功能: 1. 支持应用层程序调试(可以源码调试) 2. 支持内...

2013-04-21 21:37:12

阅读数 957

评论数 0

windows调试器之Visual C++

visual c++ 是visual studio中的一个组件。windows下开发C++是一个首选工具。这个工具强大了,每个人都知道哈哈 我打算给大家介绍一些windows下常用的调试器: visual c++ ollydbg windbg visual c++作为我们的开发工...

2013-04-21 19:22:22

阅读数 1183

评论数 0

windows之启动过程(二)

这是widnows启动过程系列文章第二篇,看第一篇,请点击 windows之启动过程(一) 6. Ntoskrnl.exe 的KiSystemStartup,执行阶段0初始化  初始化主处理器 初始化各个组件,包括 Hal初始化(HalInitSystem) ...

2013-04-21 15:42:24

阅读数 1447

评论数 0

windows之启动过程(一)

windows的启动过程一直是我比较感兴趣的。下面看一下他是怎么启动的。 1. BIOS 加电自检 (包括枚举设备,初始化显卡等。这时可以进入BIOS内进行一些主板设置,如修改主板时间、设置从USB启动等) 2. BIOS 选择一个启动设备,执行主引导记录(MBR...

2013-04-21 14:55:23

阅读数 1130

评论数 4

windows消息之PostMessage和SendMessage的内部实现

PostMessage和SendMessage是常用的发送消息函数。那两者有什么区别呢? 大家都知道PostMessage是向一个窗口Post一个消息,并且不再关注该消息是否被处理。 SendMessage是向窗口发送完消息后,会一直等着该窗口把消息处理完成。 那下面的问题你能回答么 1....

2013-04-16 23:12:51

阅读数 1660

评论数 1

CreateProcess 内部实现

*ReactOS学习笔记* CreateProcess 内部实现 调用CreateProcessW    调用CreateProcessInternalW       参数检查       获取进程文件路径       调用BasepMapFile映射文件(内部调用NtCr...

2013-02-19 18:15:57

阅读数 1957

评论数 0

提示
确定要删除当前文章?
取消 删除
关闭
关闭