windbg kdfiles使用说明

最新推荐文章于 2023-04-13 11:13:22 发布
最新推荐文章于 2023-04-13 11:13:22 发布
阅读量1.2k 收藏 3
点赞数 3
分类专栏: 调试 文章标签: windbg windows 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wesley2005/article/details/80993428
版权

背景:在被调试机驱动程序加载前,windbg可通过.kdfiles命令直接将驱动替换为调试主机上驱动文件。

(1).kdfiles命令

在驱动加载前,运行命令如下即可:

.kdfiles -m System32\drivers\test.sys E:\test222.sys

(2)mapfile文件

当然,也可以将kdfiles保存在文件中运行。

例如将如下内容保存到E:\FileMap.ini。

map
System32\drivers\devscan.sys

E:\NewServerWorkSpace\Win10Drivers\trunk\Bin\amd64\devscanDummy.sys

然后运行.kdfiles E:\MapFile.ini,即可加载。

另外,也可以通过设置环境变量来让windbg自动加载MapFile。如设置环境变量为_NT_KD_FILES=E:\MapFile.ini。然后运行windbg时会自动加载该文件。

(3)如何找到被替换驱动的目录

像第(1)像中,System32\drivers\test.sys是被替换驱动的路径,该路径不能随便填写,那该如何确定驱动路径名呢?

其实该路径就是驱动在注册表中ImagePath注册表的值。

在调试时,该注册表值可能不方便查看,没关系,可以用windbg命令来找出。

a. 运行命令:

!reg querykey \REGISTRY\MACHINE\SYSTEM\ControlSet001\services

显示

......

fffff800034eb72c     devscan

......

Use '!reg keyinfo fffff8a000024010 <SubKeyAddr>' to dump the subkey details

......

b. 运行命令:

!reg keyinfo fffff8a000024010 fffff800034eb72c

显示

REG_EXPAND_SZ       ImagePath                     System32\drivers\test.sys

那么这里的System32\drivers\test.sys,就是我们想要找的被替换驱动的路径了。




wesley2005
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows驱动_文件系统微小过滤驱动之二驱动的安装和加载
Z18_28_19的专栏
10-28 1万+
机会总是留给有准备的人,人生只不过有6到7次机会,极少数的人抓住了,大部分的人,让机会从自己的身边溜走。在机会还没有到来的时候,千万不要气馁,也千万不要放弃。首先,认清自己,很多人,其实都没有将自己认识清楚,就去认清别人,认清世界。人跟人都是不一样的,想要的也不一样。所以,请记住,认清自己。在认清自己的前提下,在机会没有到来的时候,往自己的目标去努力,厚积薄发。没有机会,创造机会。不要给自己留下任
windbg .kdfiles 命令替换驱动程序
lixiangminghate的专栏
01-30 1069
How Do I Replace A System File? Try .KDFILES 如何替换系统文件?试试 .kdfiles命令 While the Windows DDK includes numerous buildable driver samples, including a number of "in the box" drivers, any attempt to copy ...
How Do I Replace A System File? Try .KDFILES
爱杀之爪的矩阵
04-22 1311
关于我们用自己的sys去替代系统的sys文件时遇到的系统的文件保护的问题How Do I Replace A System File? Try .KDFILES Getting Your Work Done In Spite of System File Protection OSR Staff | Published: 24-Aug-04| Modified: 24-Aug-04Wh
windbg调试驱动不用替换调试机器驱动的方法
danxuezx的专栏
11-09 446
.kdfiles
内存取证例题
最新发布
qq_59706867的博客
04-13 462
从内存中获取到用户admin的密码并且破解密码,以Flag{admin,password} 形式提交(密码为 6 位);当前系统中存在挖矿进程,请获取指向的矿池地址,以 Flag{ip:端口}形式 提交;2.获取当前系统 ip 地址及主机名,以 Flag{ip:主机名}形式提交;可以使用john工具来爆破密码,但是好像没用。恶意进程在系统中注册了服务,请将服务名以 Flag{服务名}形式提交。获取当前系统浏览器搜索过的关键词,作为 Flag 提交;上一题中已经知道进程号是2588。查到父进程是3036。
WinDbg使用之详细说明
04-12
本详细说明将深入探讨WinDbg使用方法,帮助用户掌握其核心功能。 一、WinDbg的安装与启动 首先,你需要从微软官方网站下载最新版本的WinDbg。安装完成后,启动WinDbg,你会看到一个简洁的用户界面,主要由命令行...
Windbg使用手册.zip
10-13
这个“Windbg使用手册.zip”压缩包包含了丰富的资源,帮助初学者快速上手,并为经验丰富的用户提供了方便的手头参考。 1. **Windbg基本概念** - 调试器:调试器是一种软件,用于检查、修改和控制其他程序的运行,...
windbg使用说明
08-20
提供的"windbg使用说明.pdf"和"Windbg使用介绍.ppt"文档,应包含了更详细的Windbg使用教程和实例,建议结合这两个资料深入学习,以便更好地掌握Windbg使用。 总结,Windbg是一款不可或缺的调试工具,无论是在日常...
windbg使用.docx
04-07
Windbg 使用指南 Windbg 是一个功能强大的调试工具,广泛应用于 Windows 操作系统的故障排除和性能优化领域。下面是对 Windbg使用指南,涵盖了从加载 pdb 文件到查看堆栈信息的各个方面。 加载 PDB 文件 在 ...
WinDbg使用详解
02-21
本篇文章将深入探讨WinDbg使用方法,包括基本概念、核心功能以及一些实用技巧,旨在帮助读者全面理解并熟练运用WinDbg。 一、WinDbg的基础知识 1. **WinDbg界面**:WinDbg的用户界面分为多个部分,如命令窗口、...
Realtek PCIe GBE Family Controller win7驱动64位.rar
05-06
Realtek PCIe GBE Family Controller win7驱动64位
Android-SDK说明文档
QI971006的博客
03-29 844
Android接入文档 一、产品介绍 1. 场景介绍 Sdk可以简化商家在 App 应用中集成微信和支付宝支付功能的步骤。 商家APP调用Sdk预支付接口,Sdk 再调用自己的的后台接口并返回微信和支付宝支付需要的参数。用户可以参照android-paysdk1.x-d9lab-DEMO实现Android应用集成微信/支付宝支付功能。 2. 产品展示 3. 资源下载 Sdk:https://kdfiles.d9lab.net/group1/M00/01/9B/cHxzJF-aueWAZSlYAADt
cifar-10 图片查看
赫凯的博客
09-02 2506
cifar10 图片查看器 from PIL import Image def unpickle(file): import pickle with open(file, 'rb') as fo: dict = pickle.load(fo, encoding='bytes') return dict import matplotlib.pyplot a...
windbgkd命令
darthas的专栏
09-26 1787
1. !idt 显示idt信息,!dpcs显示dpc信息 2. !stacks 1 XX 显示内核栈信息,1表示换出的内核栈也显示,XX是一个过滤条件,如写为ndis,则只显示包含ndis的栈 3.
使用ajaxfileupload.js实现ajax异步上传
Allen_liyu的博客
06-07 410
1.下载异步上传的js文件 ajaxfileupload.js 2.页面引入js文件 /static/js/ajaxfileupload.js"> 3.具体方法 function mnUpload(){ $.ajaxFileUpload({ url:'/seeyon/letter.do?method=letterUpload', secureuri:false, fileElementId:'fi
knn基础与优化1--kd-tree
yeqiustu的博客
05-11 1105
KNN KNN(K-Nearest Neighbours),k最近邻算法,是一个基于距离的有监督算法,常被用于分类问题的算法,它也可以用于回归问题。所谓k最近邻,就是k个最近的邻居的意思,说的是每个数据点都可以用它最接近的k个邻居数据点来代表。当用于分类时,用k个最近邻居所属类别的多数做预测结果;当用于回归时,用k个最近邻居对应标签的平均值来表示预测结果。knn算法虽然简单,但在数据量较大时,效果还是相当不错的。 注意事项: k值的选取:k值是需要预先设定的;选小了(极端k=1),数据噪音将会对结果有
最新win10版本开启网络调试功能(不能用1394调试
wesley2005的专栏
06-20 3565
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/devtest/bcdedit--dbgsettings     批处理内容如下:   @echo off REG ADD "HKLM\CurrentControlSet\Control\Session Manager\Debug Print Filter" /v DEFA...
软件调试实战:windbg 内核调试 (lkd kd
huanongying131的博客
06-04 4771
http://advdbg.org/books/swdbg/samples.aspx 一,本地内核调试( lkd ): 管理员权限启动windbg,ctrl + k --> Local 二,查看进程数据结构 1.启动计算器 2. !process 0 0 列出系统内的所有进程 3. dt _EPROCESS 88270030 ...
windbg由虚拟地址查找对应物理地址(内核调试
wesley2005的专栏
07-31 1822
(1)虚拟地址通过pte指令,找到pfn 假设虚拟地址为0xfffff880`00d5e9e0 0: kd&gt; !pte 0xfffff880`00d5e9e0                                            VA fffff88000d5e9e0 PXE at FFFFF6FB7DBEDF88    PPE at FFFFF6FB7DBF1000  ...
WinDBG调试神器:使用指南与命令解析
"WinDBG使用详解" WinDBG是一个强大的调试工具,适用于多种调试任务,包括用户态调试、内核态调试调试转储文件以及远程调试。它以其高度的灵活性和可扩展性著称,允许用户自定义调试事件处理和开发调试扩展模块以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值