windbg 查看结构体_windbg跟踪ZwOpenFile获取打开的文件名

最新推荐文章于 2024-05-22 17:15:55 发布
最新推荐文章于 2024-05-22 17:15:55 发布
阅读量238 收藏
点赞数
文章标签: windbg 查看结构体
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34792402/article/details/112892928
版权

跟踪ZwOpenFile的笔记,确定参数的传递方式是按照从右到左的方式入栈,和c的调用方式一样。

下断点ZwOpenFile中断后的堆栈如下:

nt!ZwOpenFile

nt!MmLoadSystemImage+0x266

nt!IopLoadDriver+0x370

nt!PipCallDriverAddDeviceQueryRoutine+0x235

nt!RtlpCallQueryRegistryRoutine+0x3b1

nt!RtlQueryRegistryValues+0x2a6

nt!PipCallDriverAddDevice+0x261

nt!PipProcessDevNodeTree+0x1a4

nt!PiProcessReenumeration+0x60

nt!PipDeviceActionWorker+0x166

nt!ExpWorkerThread+0x100

nt!PspSystemThreadStartup+0x34

nt!KiThreadStartup+0x16

下面我们来找出打开的文件名

kd> d esp//栈顶存放的返回地址

f9e9e66887 43 5a 80 dc e7 e9 f9-20 00 00 007c e7 e9 f9.CZ..... ...|...

f9e9e6785c e7 e9 f9 05 00 00 00-00 00 00 00 20 b6 55 80\........... .U.

f9e9e68840 b6 55 80 00 00 00 00-e0 2e 00 e1 00 ee a7 e1@.U.............

f9e9

最低0.47元/天 解锁文章
wicky gao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windbg跟踪NtOpenProcess
fisher_jiang的专栏
12-16 1万+
过程: OpenProcess->NtOpenProcess->KiFastSystemCall->sysenter kd> u ntdll!NtOpenProcess ntdll!ZwOpenProcess: 7c92d5fe b87a000000 mov eax,7Ah 7c92d603 ba0003fe7f mov edx,offset SharedUs
一场因为想偷懒引发的那些事——WinDbg的简单用法
小鸣的专栏
12-13 186
参考&&引用 SOS installer dds, dps, dqs (Display Words and Symbols) SOS.dll (SOS debugging extension) 起因 在那天,那群,有那么一人,问了关于一个封装后的一个COM接口库的问题,继而引发出了以下一系列问题。 前期须知 本次用到的几个Windbg命令如下: .chain 查看Windbg 加载的扩展 .load 加载新的扩展到Windbg,通常使用为 .load xxxxxx 启动xxx为包含Dll名
Window内核函数 - 文件的打开
最新发布
wendyWJGU的博客
05-22 487
Window内核函数 - 文件的打开
windbg 查看结构体_图解windbg查看Win7结构体
weixin_33708562的博客
02-11 559
首先用windbg打开notepad.exe;dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。下面用dt命令查看Win7结构体查看peb结构; 查看eprocess结构; 查看特定地址的eprocess结构内容; *是通配符;显示所有peb打头的结构体名称; 枚举ntkrnlmp中带"Object"的结构体名称;没有,本机记事本没载入nt...
Windbg技巧: 利用C++类对象的虚拟函数表指针在内存中搜索对象
张佩的技术库
11-27 4630
Windbg是Windows系统下的调试利器,但即便有了windbg,也有力不从心的时候。我最近对release版本的驱动程序调试得较多,最大的困扰是虽然有私有符号,但在切换堆栈帧的时候,大多数情况下无法定位局部变量,从而使得信息有效性极大降低。编译器对Release版本进行了多种优化,这一次影响到的局部变量优化。局部变量优化则有两种情况,第一种是局部变量A直接保存在寄存器中,而不在栈上申请空间;第二种是在栈上申请空间,但当变量A不再被使用时,新的局部变量B将覆盖A的位置,这样变量A的有效信息将消失。但有时
ZwOpenFile [WDK翻译]
死胖子的博客
02-03 1769
ZwOpenFile 提供了一个句柄,通过它可以操作一个文件的数据或者是文件状态,或是文件的属性。ZwOpenFile 提供了ZwCreateFile的一个功能子集(ZwCreateFile能做更多事).
labo_windbg_script_windbg_zip_
09-30
"labo_windbg_script_windbg_zip_"这个标题暗示了我们将探讨如何利用Windbg的脚本功能来处理zip文件相关的调试问题。本文将深入解析Windbg的使用技巧,特别是针对zip文件的调试场景。 首先,让我们了解Windbg。...
windbg_js_scripts:玩WinDbg JS API的玩具脚本
05-28
WinDbg中,加载config.xml文件并保存设置: 0:000> .settings load \path\to\windbg_js_scripts\config.xml[...]\windbg_js_scripts\config.xml has been loaded successfully.0:000> .settings saveSettings ...
命令行启动windbg.zip_UBB4_information963_windbg_windbg 启动_命令行 ;dump
09-23
接着,我们关注一下“ubb4 information963”和“windbg_启动_命令行_;dump”。这可能是某种特定情境或任务的代号,具体含义可能需要根据上下文来理解。在一般情况下,";dump"可能暗示着我们要处理的是内存转储...
VM-WinDbg.rar_vm_windbg
09-22
本文将深入探讨“VM-WinDbg.rar_vm_windbg”主题,它涉及到使用虚拟机(VM)和WinDbg进行驱动程序调试的技术细节。 首先,虚拟机(VM)是一种在物理硬件上模拟完整计算机系统的软件。VMware、VirtualBox等是常见的...
Windbg.rar_windbg
07-15
Windbg.rar_windbg》是关于Windows内核调试的重要资源包,其中包含了深入解析Windows内核调试技术的书籍《Windbg.pdf》以及可能为下载来源信息的文本文件《www.pudn.com.txt》。让我们详细探讨一下Windbg及其在...
内核模式下的文件操作_zwcreatefile_zwopenfile_zwreadfile_zwwritefile
05-05 2294
1.文件的创建 对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕后,要关闭这个文件句柄。 NTSTATUS     ZwCreateFile(     OUT PHANDLE  FileHandle,     IN ACCESS_MASK  DesiredAc...
磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_ZwQueryInformationFile
01-27 3162
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载 历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) { HANDLE wenjianju
windbg 查看参数应用方法
xbgprogrammer的专栏
08-21 1543
最近在调试ntNtCreateKey函数,每次触发断点后,查看究竟哪个键值被创建应用一下几个步骤 1. dd esp指令得到nt!NtCreateKey第三个参数 aaa,类型为OBJECT_ATTRIBUTES 2. dd aaa得到OBJECT_ATTRIBUTES结构体内存 3. dd [aaa] + 8得到Unicode_String结构体内存 4. du Unicode_Stri
Windows驱动开发之文件操作
enjoy5512的博客
07-06 6941
内核态文件操作 内核态字符串操作 内核态动态内存申请/释放
内核模式下的文件操作
crkres9527
09-27 416
A、文件的创建 B、文件的打开 C、获取和修改文件属性 D、写文件和读文件   一、文件的创建 InitializeObjectAttributes 初始化  POBJECT_ATTRIBUTES 结构 ZwCreateFile 二、文件的打开    ZwCreateFile,ZwOpenFile 三、获取和修改文件属性     ZwQueryInformationFile,...
windbg 查看结构体_Windbg入门实战讲解
weixin_42467088的博客
12-31 1309
windbg作为windows调试的神器。是查看内核某些结构体,挖掘漏洞,调试系统内核,调试驱动等必不可少的工具。但是由于windbg命令众多,界面友好程度较差,从而造成新人上手不易,望而却步。本文抛砖引玉,从基础入手,讲解windbg。希望同作为新人的我们一起进步!注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。因为这部分的内容,网络上太多了。读者可自行百度。但是请注意:这两部...
Windbg调试新手入门
weixin_33912445的博客
08-22 199
此文仅记录本人初次使用Windbg调试IIS,方便本人或有需要的同学参考! ------------------------------------------------------------------------- 1. WinDbg下载和安装    Install Debugging Tools for Windows 32-bit Versionhttp://www.microso...
windbg看pte结构体
02-08
Windbg是一款强大的调试工具,可以用于分析和调试Windows操作系统和应用程序。在使用Windbg查看PTE(Page Table Entry)结构体时,可以按照以下步骤进行: 1. 打开Windbg并加载调试目标(例如,一个正在运行的进程或者一个Dump文件)。 2. 使用命令`.process`或`.attach`选择要调试的进程。 3. 使用命令`.reload`加载符号文件,以便能够正确解析符号。4. 使用命令`!process 0 0`列出所有进程,并找到要查看的进程的EPROCESS地址。 5. 使用命令`dt _EPROCESS <EPROCESS地址>`查看EPROCESS结构体的内容。在EPROCESS结构体中,可以找到与虚拟内存相关的字段,如`Pcb.DirectoryTableBase`。 6. 使用命令`dt _MMADDRESS_NODE <Pcb.DirectoryTableBase>`查看MMADDRESS_NODE结构体的内容。在MMADDRESS_NODE结构体中,可以找到与页表相关的字段,如`u1.ParentFrame`。 7. 使用命令`dt _MMPTE <u1.ParentFrame>`查看MMPTE结构体的内容。在MMPTE结构体中,可以找到与PTE相关的字段,如`u.Hard.PageFrameNumber`。 通过以上步骤,你可以逐级查看PTE结构体的内容,并了解虚拟内存的映射情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值