WinDbg 命令

最新推荐文章于 2020-03-02 17:07:52 发布

weixin_30883271

最新推荐文章于 2020-03-02 17:07:52 发布

阅读量151

点赞数

原文链接：http://www.cnblogs.com/luzhiyuan/p/4399161.html

版权

1. dg 0 100

查看gdt所指向的全局描述符表

2. !process 0 0

查看所有进程信息，其中Cid为PID，DirBase为CR3，Image为进程名。

!process

查看当前进程信息

3. uf nt!ZwCreateFile

u查看反汇编，uf查看函数完整的反汇编

4. x nt!*create*

查找模块中的符号，nt为内核模块，即ntoskrnl.exe。

5. lm

查看当前进程的模块列表。

6. !idt -a

查看所有的IDT

7. !idt 0x2e

查看IDT的第0X2e项

8. dt _kpcr [addr]

将指定地址处的数据，解释为kpcr结构。如果没有地址，则列出结构的各个成员。

内核中描述进程信息的结构为_EPROCESS，_EPROCESS的第一项为_KPROCESS，

所以将一个_EPROCESS的结构解释为_KPROCESS不会出错，因为它的第一项就是_KPROCESS。

9. WinDbg查看SSDT

dd KeServiceDescriptorTable

dds 80502bbc L 11c

10. WinDbg，查看一个函数调用了哪些函数

uf /c nt!NtCreateUserProcess

转载于:https://www.cnblogs.com/luzhiyuan/p/4399161.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30883271

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

用windbg显示特定进程虚拟地址的方法

享受开发，颠倒银河

07-03

1714

1 必须使用Livekd.exe启动

Windbg常用命令详解

热门推荐

dvlinker的技术专栏

06-28

1万+

本文详细介绍Windbg常用命令。

参与评论您还未登录，请先登录后发表或查看评论

windbg各种命令学习

weixin_30478619的博客

11-23

141

1 dt命令： dt _peb 直接显示 lkd> dt _peb nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool ...

Windbg调试命令详解（3）

张佩的技术库

10-08

6202

3 进程与线程既可以显示进程和线程列表，又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料，在调试过程中不可或缺。 3.1 进程命令进程命令包括这些内容：显示进程列表、进程环境块、设置进程环境。进程列表多个命令可显示进程列表，但一般只能在特定情况下使用，它们是：|、.tlist、!process和!dml_proc。竖线命令显示当前被调试进程列表的状态信息，这个命令在本章开头已作过介绍，命令格式如下： | [进程号] 请注意这里的定语：被调试进程列

WinDbg命令

qq_36308972的博客

07-17

766

段、页 WinDbg可以使用r命令来观察GDTR和IDTR GDTR、IDTR:用来标识GDT表和IDT表的位置和边界使用dg n 命令（n为数字）可以查看段选择子的对应的描述符信息线程使用 ~ 可以列出线程的基本信息调试 *x a.exe! : 列出a.exe的所有符号 ...

IDE : Windbg操作整理

谢绝留言与私信

05-06

2855

行数指示 bl 看见断点列表后, 源文件的行号要打开该源文件, 将光标挪到该源文件, 看状态栏的行数指示. 反汇编地址 u module!function L长度 u 地址 L长度反汇编该地址, 反汇编内容的长度为制定长度反汇编函数 uf moudle!function 反汇编该函数, 指定模块函数符号名或直接指定地址 kd> uf n

windbg命令，windbg命令，windbg命令

最新发布

11-11

在深入讲解Windbg命令之前，我们需要理解一些基本概念。首先，Windbg有两类主要的命令：内部命令和扩展命令。内部命令是Windbg自带的，而扩展命令来自于第三方插件，如kdexts.dll或 sos.dll，它们提供了更高级的功能...

windbg命令大全.zip

09-04

这个"Windbg命令大全.zip"压缩包包含了深入学习和掌握Windbg所必需的重要资源，特别是PDF文档"WinDBG命令行大全.pdf"，它应该详细列举了各种Windbg命令及其使用方法。 Windbg命令行大全的核心知识点包括以下几个...

WinDbg 命令三部曲.mht

05-18

WinDBG命令介绍

windbg命令高亮显示插件

12-07

这款"Windbg命令高亮显示插件"是为了提升用户在使用Windbg时的体验，通过高亮显示命令，使得调试过程更加直观和高效。下面我们将深入探讨这款插件的功能、使用方法以及与Windbg的结合。首先，高亮显示是编程和调试...

WinDbg演示IA-32 CPU下的Windows 分页机制下的地址转换过程

weixin_34234721的博客

02-18

158

今天在学习《软件调试》的时候，练习虚拟地址转物理地址的时候遇到了一个问题。用windbg本地调试内核功能时,!dd无法使用用windbg命令dd的时候出现了以下错误： kd> !dd 0b3c03c0 Physical memory read at b3c03c0 failed If you know the caching attributes u...

段机制（段描述符）和页机制（内存分页）

u012138730的专栏

05-17

4986

前面说道操作系统的每个进程都拥有自己的虚拟地址空间，对于这个32位操作系统，虚拟内存空间大小为4G。现代操作系统都使用分页来管理内存，把4G分成每一页为2^12 = 4K大小的页，一共有1M个的页（虚拟页VP，VirtualPage）。每一个虚拟页映射到物理内存空间的一个页——物理内存地址空间也划分4K大小的页（物理页PP，PhysicalPage）。这个映射关系的数据结构称为页表。当进程的虚拟页...

3.windbg-!pte转换地址(ring0)

hgy413的专栏

04-04

2156

1.取得DirBase kd> !process 0 0 test.exe PROCESS 89ed6170 SessionId: 0 Cid: 0558 Peb: 7ffd9000 ParentCid: 0744 DirBase: 0a7c0340 ObjectTable: e1e6b5a8 HandleCount: 15. Image: test.exe 2. 切换到

Windbg解析程序运行时虚拟地址对应的物理地址

weixin_44922845的博客

03-02

2105

分析虚拟地址本次实验使用 Windbg 解析 hello25.exe 程序运行时虚拟地址 0x00403000h 对应的物理地址，那么首先我们先对虚拟地址 0x00403000h 进行分析。在 64 位操作系统下，虚拟地址的 63-48 位是符号扩展位，在虚拟地址到物理地址的转换过程中没有实际作用，所以我们重点关注剩下的 48 位，其中，47-39 位表示 PML4E，38-30位表示PDPT...

windbg查看文件的PTE和PDE

小雅的博客

04-13

2742

1、下载好windbg，设置好变量symbols（去官网下载对应版本的symbols)2、进入kernel debug模式的本机调试（内核调试模式），我是在xp虚拟机下进行的。3、用!process 0 0命令打印当前所有的进程信息，找到我们的exe信息（这里是hello.exe） 4、先.process 81c39020进入进程5、!pte 81c39020打印此处的PTE和PDE 6、得

利用windbg探索进程和进程上下文

一介渔夫

10-18

1万+

1.列出所有活动进程使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址，如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 0: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 821b7490 Session

使用WinDbg调试Windows内核(二)

stonesharp的专栏

03-25

1550

使用WinDbg调试Windows内核(二) 上篇文章介绍了windbg调试内核的基本环境设置以及一些基础调试技巧，这篇文章介绍一些windbg的高级调试技巧。 0×01使用断点跟踪数据断点通常用在暂停某个我们感兴趣的执行代码，例如当某个函数被调用时，我们还可以使用WinDbg断点命令字符串跟踪一些信息。在这里，我们将着眼于跟踪特定用户模式进程的有趣信息，即特定数据NO

NT主要内核结构 windows 2003

P.Kwok

11-19

681

虽然时常看到有新手询问各OS版本_EPROCESS _ETHREAD之类的结构.但本文的目的却绝对不是告诉你这些结构到底是怎样的.也不会介绍如何获得.实在是太白痴的问题.自己随便百度下”VM Windbg 双机调试”之类,然后Kd>dt nt!_*就好. 实际是为了速查跟备忘,自己常遇到为了查一个偏移需要装一个系统的郁闷事件.Baidu不到也google不到的. W

使用内核调试器

rongwenbin的专栏

02-26

1831

介绍在这篇教程中，我们将会讲述内核调试器的几个基本特性，然后去掌握它。很明显，我们不能涉及到方方面面，所以我们只会概括到其中几个方面，然后让你熟悉调试器的使用。我希望这篇文章能对你有帮助。设置为了设置内核调试器，你需要像第一章那样修改BOOT.INI文件。/DEBUG /DEBUGPORT=COM1 /BAUDRATE=115200是我们需要设置的选项。如果你不设置速度，默

WinDbg命令详解：调试工具全面指南

2) 常用WinDbg命令：包括`version`和`vercommand`等，用于查看调试器及其扩展的版本信息，以及执行各种操作，如清空屏幕。 3) 调试会话管理：如附加和分离进程，这些功能允许调试器连接到运行中的进程或断开连接。 ...