记录windbg调试使用

已于 2022-11-08 09:24:00 修改
阅读量707 收藏
点赞数
文章标签: 其他
于 2022-11-05 09:25:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/127699480
版权

windbg 查看某进程
!process 0 0 Project3.exe
PROCESS ffffbf0f64cac080 SessionId: 1 Cid: 1154 Peb: 003a0000 ParentCid: 0db4
DirBase: 72645002 ObjectTable: ffffac09f680cd80 HandleCount: 186.
Image: Project3.exe

**PROCESS ffffbf0f64cac080 **:为该进程的eprocess结构体地址指针
Cid: 1154 :进程ID
Peb: 003a0000:保存着进程相关信息结构体
DirBase: 72645002:页目录基址 48位用 还有高18为保留

windbg 查看eprocess结构体
dt _eprocess ffffbf0f64cac080
在eprocess-> +0x000 Pcb : _KPROCESS -> [+0x030] ThreadListHead [Type: _LIST_ENTRY] 可以找到第一个指向线程ethread结构体指针
[+0x000] Flink : 0xffffbf0f61452378 [Type: _LIST_ENTRY *]
[+0x008] Blink : 0xffffbf0f652c4378 [Type: _LIST_ENTRY ]
要注意一下:flink指的是下一个,blink指的是前一个
windbg 查看ethread结构体 + 30位置
dt _ethread 0xffffbf0f61452378-0x2f8 (圈的线程的位置不通)
windbg 查看ethread结构体 + 0x5e0位置
dt _ethread 0xffffbf0f61452378-0x4e8 (圈的线程的位置不通)
注意:0xffffbf0f61452378这个指针指向的是线程_ethread结构体0x2f8 位置,所以要打印完整ethread结构体 需要- 0x2f8 才是ethread头部。
//srvC:\Symbols;F:\xiangmu\MyDriver2\x64\Debug

weixin_41725706
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windbg使用详解
dvlinker的技术专栏
10-07 2万+
本文详细介绍了Windows调试工具Windbg使用
windbg常用命令
lygl35的博客
12-23 982
1、!process 0 0 (查看所有进程) 2、dt _EPROCESS 8710da00 (查看当前进程的结构体) 2、dt _HANDLE_TABLE 0x8d7fc818 (查看内核对象句柄表) 3、dd 0x98609000 (当前进程句柄表,一个句柄对象是8个字节)内核对象句柄/4=内核句柄地址在句柄表的索引 ...
windbg调试工具.zip
01-08
windbg调试工具,用于分析dump文件,查看异常堆栈,很好用的c++开发人员辅助工具。
WinDbg学习笔记八 - 内核调试常用命令2 - 进程相关
imJaron的博客
11-14 648
!process: 查看进程信息,比如EPROCESS地址,进程ID,线程信息等等。 !process 0 0: 用来显示进程列表以及每个进程的基本信息。 也可以查看指定进程的信息,以下会显示863e6b60进程的基本信息,不加0则会显示具体的信息。 !process -1 0则会显示当前进程的基本信息, 也可以查找特定的进程,比如
windbg学习---!process
ShadowAssassin的专栏
08-09 4096
!process 0 0 显示进程列表:
Windbg 2进程线程结构分析
fei1160688828的专栏
12-29 799
目录任务进程资源进程空间EPROCESS结构PEB内核模式和用户模式线程ETHREADTEBWOW进程注册表重定向注册表反射文件系统重定向创建进程最小进程和Pico进程最小进程任务管理器 任务 一个进程或者一个线程叫任务 进程资源 虚拟地址空间 全局唯一的进程ID 可执行映像 一个或多个线程 一个位于内核空间的EPROCESS 一个位于内核空间的对象句柄表 一个用于描述内存目录表其实位置的基地址 一个位于用户空间的进程环境块 一个访问令牌 进程空间 用户空间 内核空间 EPROCESS结构 1.查看所有
使用windbg查看进程导入表
momodeconger的博客
04-13 276
查看INT表(桥1)每4个字节代表一个导入函数的地址,一共从msvcp140d.dll中导入了14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT表(函数地址表),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入表内容,每个dll对应20个字节。查看导入的dll的名字。
Windbg查看进程的_EPROCESS结构
never12345678的专栏
10-15 5581
最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。大家知道,每一个进程都对应一个_EPROCESS结构,我们如何确定一个进程的_EPROCESS地址呢?以notepad.exe为例使用Windbg的Kernel Debug,输入命令lkd> !process 0 0    //查看当前进程PROCESS 8a5e7088 SessionId: 0 Cid: 0ff0
WinDbg调试命令
xiejianjun417的专栏
07-20 627
windbg相关命令
WinDbg命令详解--进程
Arbboter的专栏
03-17 2510
指令列表.tlist 查看进程简要信息:进程号和进程名称 .tlist 查看进程详细信息:进程号和进程名称,命令行参数,SessionID,用户等信息 !teb 线程块环境信息 !peb 进程块环境信息 lm 查看模块的简要信息 lm -v 查看模块的相信信息 !handle 查看句柄表信息 !handle id 查看特定的句柄信息
windbg调试命令 很详细
04-24
windbg调试命令 很详细,很适合windbg初学者。
windbg调试工具安装和使用说明.doc
02-28
WinDbg是微软发布的一款源码级(source-level)调试工具,可以用于Kernel内核模式调试和用户模式调试,还可以调试Dump文件。 本文档主要介绍了WinDbg工具的安装和配置方法,以及WinDbg常用命令和使用说明。
使用WinDbg内核调试
05-05
本文介绍的是在windows系统下进行C代码开发时的一种借助于WinDbg 工具进行代码调试的工具。
QT属性动画--设置样式属性(其他属性)
lizequan的博客
03-02 4831
这里写自定义目录标题故事背景遇到的问题解决过程最终方法感悟 故事背景   最近在制作一个按钮切换的动画特效中接触了属性动画这部分内容,并由此产生了一些思考。 遇到的问题 解决过程 最终方法 感悟 ...
Volatile的其他特性
我想月薪过万的博客
03-03 3550
2.1 volatile总体概览 在上一节中,我们已经研究完了volatile可以实现并发下共享变量的可见性,volatile除了保证可见性外,volatile还具备如下一些突出的特性: volatile的原子性问题:volatile不能保证原子性操作 禁止指令重排序:volatile可以防止指令重排序操作 2.2 volatile不保证原子性 2.3 代码测试 package Ls; /** * 目标:研究Volatile的原子性操作 * <p> * 基本观点:V.
【安卓基础】Android直接通过路径来操作其他应用的私有目录,可以吗?
m0_48179608的博客
03-02 7138
在上篇文章[【安卓基础】一文搞懂Android历代版本文件访问权限变化](https://blog.csdn.net/m0_48179608/article/details/122838494)我们对同一个应用的的文件访问权限做了比较。 那么不同应用之间文件访问又有什么限制呢?我们准备分二到三篇文件来阐述。 这篇文章,主要来看下不同系统版本下,我们直接通过路径来访问其它应用的**内部存储、外部存储私有目录**,看看能不能访问以及不同系统版本的区别。
Silane-PEG-NHS,SIL-PEG-NHS,可以用来修饰蛋白质、多肽以及其他活性基团,NHS-PEG-Silane
qq_39152602的博客
03-03 3212
英文名称:Silane-PEG-NHS 中文名称:硅烷-聚乙二醇-活性酯 分子量:1k,2k,3.4k,5k,10k,20k(可按需定制) 质量控制:95%+ 存储条件:-20°C,避光,避湿 用 途:仅供科研实验使用,不用于诊治 外观: 固体或粘性液体,取决于分子量 注意事项:取用一定要干燥,避免频繁的溶解和冻干 溶解性:溶于大部分有机溶剂,如:DCM、DMF、DMSO、THF等等。在水中有很好的溶解性 取用:现配现用,将包装从冰箱中取出,置于干燥器中缓慢升至室温,打开瓶盖,取用。取用.
[Golang]力扣Leetcode—中级算法—其他—两整数之和(位运算)
皮埃尔的博客
03-03 2619
[Golang]力扣Leetcode—中级算法—其他—两整数之和(位运算)
windbg 分析dump文件
最新发布
11-11
Windbg是Windows平台上的一款强大的调试工具,可以用于分析dump文件。当一个程序崩溃或异常退出时,系统会生成一个dump文件,其中包含了程序在崩溃前的内存状态、寄存器的值以及调用栈等信息。通过分析dump文件,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值