IRP的WinDbg相关调试

最新推荐文章于 2023-01-30 23:00:00 发布
最新推荐文章于 2023-01-30 23:00:00 发布
阅读量668 收藏
点赞数
原文链接:http://www.cnblogs.com/fanzi2009/archive/2010/11/02/1867531.html
版权

查找所有设备,从中间找到KeyboardClass0或者kbdclass创建的设备
!object \device

查找设备对象的IRP
!irpfind 0 0 device 80e03e38

查看IRP具体信息
!irp 80d839b8

查找发送IRP的线程
!thread 80df54b8

显示Cid 01d0.0210
得知进程ID=01d0,线程ID=0210
!process 01d0 0

!devstack查看设备堆栈

转载于:https://www.cnblogs.com/fanzi2009/archive/2010/11/02/1867531.html

weixin_34021089
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windbg 使用
代号9527
07-27 1832
使用WinDbg内核调试看雪学院,笨笨雄译安装程序基础挑选技术取得更多信息WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用的WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。本文将假定开发者熟悉一般WINDOWS操作系统和进
windbg工具和windbg内核调试指南
11-09
windbg 调试内核和驱动代码的最好工具
Windbg命令查看IRP IO_STACK_LOACTION结构体成员
faithzzf的专栏
01-07 2283
dt命令查看结构体成员。加入 /r 递归列举每个成员(dt nt!_irp /r)。      这个是双机调试32位系统下查询的结果, 列举每个成员的偏移量,对于调试汇编代码或者逆向分析驱动是很有帮助的,汇编访问结果体成员的时候都是通过偏移值进行的。知道偏移值以及数据结构的类型,就可以知道访问的成员是那一个了。 kd> dt nt!_irp    +0x000 Type
Windows内核中IRP的处理与完成机制
04-23 3425
最近一段时间我将《Windows驱动开发详解》翻阅了一遍,个别章节进行了精读,还是很有体会的,在此想对Window设备驱动开发的一些思想做一下总结。由于这几年在Linux驱动开发方面做了很多工作,因此会将Linux驱动与Windows驱动做一下简单的比较。        2003年时做本科毕业设计,那时候首次涉及Windows驱动程序,由于课题的需要,因此直接采用DriverSt
I/O Request Packet
zhuo_zhibin的专栏
09-14 5877
第5章 I/O Request Packet 5.1 数据结构 在处理 I/O 请求上,有两个重要的数据结构:IRP(I/O request packet)和 IO_STACK_LOCATION 5.1.1 IRP 的结构 下面是在 windbg 里得到的 IRP 结构: nt!_IRP +0x000 Type : Int2B +0x002 Size
windbg抓一个windows蓝屏分析
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
01-30 1万+
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
Windbg调试工具
08-05
它能帮助调试驱动的初始化、设备创建、IRP处理等关键流程,确保驱动程序的稳定性和兼容性。 8. **图形化界面**:虽然主要基于命令行,但Windbg也提供了简单的图形用户界面,使得操作更加直观。用户可以通过窗口查看...
windbg 双机调试
06-06
- 在被调试机(Target)上打开`boot.ini`文件,并添加调试相关的参数。 - 示例命令:`multi(0)disk(0)rdisk(0)partition(1)\WINNT=”Microsoft Windows 2000 Professional”/fastdetect /debug /debugport=...
windbg中文文档.zip
07-11
8. **调试驱动程序**:特别针对驱动程序开发人员,描述如何调试内核模式驱动,包括设置内核调试环境、识别I/O请求包(IRP)等。 9. **性能分析**:利用Windbg进行性能分析,例如CPU和内存使用情况,以及如何查找...
系统调试工具windbg
12-24
1. **启动调试**:可以通过设置Boot Debugger,让系统启动时自动进入Windbg调试模式。 2. **挂起和恢复调试**:可以暂停驱动的执行,检查当前状态,然后恢复执行,便于分析问题。 3. **调试信息窗口**:显示驱动的...
使用WinDbg内核调试
热门推荐
eqera的专栏
11-29 1万+
WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用的WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。 本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。 本文将假定开发者熟悉一般WINDOWS操作系统和进程的建立过程。 本文的重点是集成内核模式和用户态模式的图形化调试
Windbg内核调试(大杂烩)
sanshao27的专栏
04-21 6909
Windbg内核调试之三: 调试驱动这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分
取消Irp引起蓝屏(BugCheck:0x18)
lixiangminghate的专栏
02-22 2370
昨天写一个简单的驱动,驱动的write例程会将IRP挂起放进自定义的队列中,然后在另一个线程中取消这些挂起的IRP: NTSTATUS SampleCharWriteAsync(PDEVICE_OBJECT devObj, PIRP irp) { KIRQL oldIrql; SampleCharDevContext* devCtx = (SampleCharDevContext*)devO
windbg与Bochs一些调试命令笔记
輚至消亡
07-02 671
Windbg 分为三种命令: 标准命令, 点号(.)开头的元命令以及感叹号(!)开头的拓展命令 dd/dw/db: 以dword/word/byte方式查看内存 da xxx: 显示xxx地址处的ascii表示 df xxx:浮点显示 dv: 查看变量内容 du: 查看内存中UNICODE值 display type(dt): 显式结构体内部 (_eprocess, _KPROCESS, _DISPATCHER_HEADER) u: 查看反汇编, 后面加地址 ub: 查看当前指令之前内容的反汇编 uf:
实战windbg调试驱动例子
03-22 6972
关于VM和WINDBG的基本配置请参考相关的文档。(在这里给各位一篇不错的文章,就是jiurl老大写的《  利用VM使用windbg  》)好了,废话少说,让我们整点干的 :-)既然我们要分析的是sr.sys,当然我们先要看的就是目标机加载的驱动程序的位置了,sr.sys是XP系统系统还原的主体部分,它是建立在NTFS文件分区格式下的一个驱动,说白了 sr.sys其实就是ntfs.sys的
IRP 乱杂谈
jiurl的专栏
12-16 4606
IRP 乱杂谈 作者: JIURL                 主页: http://jiurl.yeah.net     IRP 是 I/O request packet 的缩写,即 I/O 请求包。驱动与驱动之间通过 IRP 进行通信。而使用驱动的应用层调用的 CreatFi
深入解析Windows内核:设计与实现
第二章可能围绕Windows内核调试组件展开,讲解如何利用WinDbg调试工具来诊断和解决内核级问题。这部分内容可能包括设置调试环境、理解内核调试命令,以及如何追踪和分析内核崩溃等问题。 第三章可能详细介绍了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值