日志
文章平均质量分 70
北魏的小Eif
BAT员工,Coding Dreamer
展开
-
系统蓝屏排查日记
在一个晚上,我正在LOL开黑,由于换上了SSD,程序十分流畅,系统如风,常伴吾身。于是,微软决定制裁我,忽然我的系统就变得十分卡,这感觉undo哦,后面还蓝屏了。于是我利用工具顽强地找到了原因原创 2016-04-29 00:43:32 · 2796 阅读 · 0 评论 -
Windbg简易使用指南
1. 一般调试步骤1.1 打开待调试的dump文件1.2 加载符号快捷键 Ctrl+S,输入以下内容,点选reload,确定srv*f:\mysymbols*http://msdl.microsoft.com/download/symbols;cache*f:\mysymbols其中 http://msdl.microsoft.com/download/symbols 是微软的符号服...原创 2018-10-16 10:01:47 · 647 阅读 · 0 评论 -
黑板式擦写日志系统
简介这个是三四年前做的一个日志系统思路。该系统有以下特征:高性能内存复用大概的思路是,直接在固定的一块内存里面写日志(memcpy_s),该块内存划分如下图:如图所示,该块内存前面的几十字节记录了日志系统版本、固定日志、滚动日志的起止 和 当前写到哪里(这里写到哪里是一个 相对偏移)固定日志: 不存在复写,该块内存写完便不再写滚动日志: 像黑板一样,写完一版可以继续写性...原创 2018-10-18 18:21:19 · 174 阅读 · 0 评论 -
绕过系统调试器检测
原因有些时候,进程检测到有调试器时,会把异常直接交给调试器,这样,我们就调试不了我们的异常抓取逻辑。(当然应该也有进程故意针对有调试器情况下做特殊处理的例子,同理是可以绕过去的)步骤打开windbg,打开exe和源代码,加载符号下断点bp kernel32!UnhandledExceptionFilter注意,UnhandledExceptionFilter的位置每个版本的操作...原创 2018-10-18 17:52:32 · 853 阅读 · 0 评论 -
再探内核调试--如何在内核调试下对用户态进程下断点
本文将对Windows平台下的内核调试中,对我们想要调试的用户态进程进行下断点等探索1. 准备工作见初探2. 对调试目标程序下断点我们在初探中已经提到对记事本进程进行观察的方法,这里我们将尝试对自己的进程下断点。在初探中,我们已经能看到了记事本的堆栈,在进行了.process操作之后,是不是就可以像普通调试一样下断点呢?2.1 下断点之前的一些操作windbg连接成功后,首先会...原创 2018-10-18 15:17:42 · 787 阅读 · 0 评论 -
Windows内核调试初探
本文将对Windows平台下的内核调试进行简单探讨1. 准备和设置虚拟机为了进行内核调试,我们准备一个虚拟机(此处为Win7 x64)。在 VMVare 中进入该虚拟机的设置,在硬件中添加 串行端口(选择使用命名的管道 “\.\pipe\com_1”)此处必须确保硬件下有 “串行端口” 项,而不是 “串行端口 2” (若为 “串行端口 2”,将打印机和该端口删除,重新添加 串行端口)...原创 2018-10-18 15:04:03 · 2018 阅读 · 0 评论 -
重建堆栈指南及其自动化实现
1. 打开windbg x86,打开fulldump,加载符号(必须)2. !analyze -vSTACK_TEXT: 0015bc74 75503b5b 00000c64 0015bc8c 0015bc94 ntdll!ZwResumeThread+0x150015bc84 6b690419 00000c64 6b6f3ed8 0015bca4 KERNELBASE!ResumeTh...原创 2018-10-18 14:47:55 · 1971 阅读 · 0 评论 -
函数调用基础
前言函数调用充满着程序整个生命周期,是很基础但又很重要的东西。在写这篇介绍的时候,笔者也用了相当的时间整理和验证,信息量也比较大,第一次看不一定能全部看懂,建议不懂的部分自行搜索,亲自动手验证也是极好的办法。1. 函数调用过程函数调用,其实就是线程栈的状态转变和回复的过程。这里说的函数调用过程,其实也可看作调用者和被调用者的一种约定。这个约定定义了函数调用时函数参数的传递方式,函数返回值的返...原创 2018-10-13 11:52:40 · 451 阅读 · 0 评论 -
抓内核态dump的一些方法
抓内核态dump的一些方法为什么要抓内核态dump(kernel dump)其实一直以来,测试都有反映我们的进程,有时候退不出,表现为:任务管理器能看到进程,但杀不掉;或者任务管理器看不到,但process explorer能看到,还是杀不掉。 这是因为,进程退出逻辑已到达操作系统内核,但操作系统内核逻辑出了问题,卡在内核了,所以进程对象没有完全释放。怎么看内核callstack使...原创 2018-10-13 10:11:48 · 1244 阅读 · 0 评论 -
进程启动调试/绑定启动
exe启动时用VS进行调试将exe关联到VS调试器上,当exe启动时会自动启动VS进行调试(以test.exe为例)1. 在以下目录新建项 test.exeHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options2. 在以下目录新建字符串值,名字为 Debugg...原创 2018-10-16 10:18:29 · 294 阅读 · 0 评论