windbg 查看IDT和中断对象的关联

最新推荐文章于 2022-10-12 13:15:18 发布
最新推荐文章于 2022-10-12 13:15:18 发布
阅读量2.4k 收藏 1
点赞数
以下面的一项为例来说:
3e: 817789cc atapi!IdePortInterrupt (KINTERRUPT 81778990)

81778990是所谓的中断对象地址,也就是一个KINTERRUPT 结构。
kd> dt _KINTERRUPT 81778990
nt!_KINTERRUPT
   +0x000 Type             : 22
   +0x002 Size             : 484
   +0x004 InterruptListEntry : _LIST_ENTRY [ 0x81778994 - 0x81778994 ]
   +0x00c ServiceRoutine   : 0xf9967fbe     unsigned char  atapi!IdePortInterrupt+0
   +0x010 ServiceContext   : 0x8178a030
   +0x014 SpinLock         : 0
   +0x018 TickCount        : 0xffffffff
   +0x01c ActualLock       : 0x81778bf4  -> 0
   +0x020 DispatchAddress  : 0x804ebac7     void  nt!KiInterruptDispatch+0
   +0x024 Vector           : 0x3e
   +0x028 Irql             : 0xd ''
   +0x029 SynchronizeIrql  : 0xd ''
   +0x02a FloatingSave     : 0 ''
   +0x02b Connected        : 0x1 ''
   +0x02c Number           : 0 ''
   +0x02d ShareVector      : 0 ''
   +0x030 Mode             : 1 ( Latched )
   +0x034 ServiceCount     : 0
   +0x038 DispatchCount    : 0xffffffff
   +0x03c DispatchCode     : [106] 0x56535554


其中DispatchCode字段的地址:
kd> ? 81778990+3C
Evaluate expression: -2122872372 = 817789cc
就是登记在IDT表里的中断服务例程(ISR)的地址。上面显示出来的0x56535554其实是ISR代码的前几天指令:
kd> u 817789cc
817789cc 54              push    esp
817789cd 55              push    ebp
817789ce 53              push    ebx
817789cf 56              push    esi
817789d0 57              push    edi
从执行的角度来看,发生中断后,CPU转来执行817789cc处的代码,这段代码做了些预处理后,便将中断对象的地址放到EDI寄存器中,然后跳转到KiInterruptDispatch函数:
81778a4f bf90897781      mov     edi,81778990h
81778a54 e96e30d7fe      jmp     nt!KiInterruptDispatch (804ebac7)
这相当于把中断对象当做参数调用KiInterruptDispatch 函数。KiInterruptDispatch 函数内部再调用中断对象里的服务函数:
ServiceRoutine   : 0xf9967fbe

从驱动程序注册中断的过程来看,驱动程序先创建一个中断对象,然后把KiInterruptTemplate处复制样板代码过来:
kd> dd  nt!KiInterruptTemplate  l(106/4)
804ebb5e  56535554 54ec8357 4489ec8b 4c894424
804ebb6e  54894024 44f73c24 00007024 850f0002
804ebb7e  00000112 247c8366 2374086c 5024648c
804ebb8e  38245c8c 3424448c 30246c8c 000030bb
804ebb9e  0023b800 8e660000 d88e66e3 64c08e66
804ebbae  00001d8b c7640000 00000005 ffffff00
804ebbbe  245c89ff 00fc814c 0f000100 00009d82
804ebbce  2444c700 00000064 05f6fc00 ffdff050
804ebbde  bf0b75ff 00000000 fffcd9e9 45f790ff
804ebbee  02000070 f7097500 00016c45 e3740000
804ebbfe  0fc3210f 210fc921 185d89d7 891c4d89
804ebc0e  210f207d f1210fdb 89ff210f 4d89245d
804ebc1e  0000bb28 7d890000 fb230f2c 203d8b64
804ebc2e  8b000000 0002f89f fc8f8b00 0f000002
804ebc3e  230fc323 009f8bc9 8b000003 0003048f
804ebc4e  d3230f00 8bd9230f 0003089f 0c8f8b00
804ebc5e  0f000003
复制过来后,要做一些修改,把中断对象的地址替换进去。
kd> dd 817789cc   l(106/4)
817789cc  56535554 54ec8357 4489ec8b 4c894424
817789dc  54894024 44f73c24 00007024 850f0002
817789ec  00000112 247c8366 2374086c 5024648c
817789fc  38245c8c 3424448c 30246c8c 000030bb
81778a0c  0023b800 8e660000 d88e66e3 64c08e66
81778a1c  00001d8b c7640000 00000005 ffffff00
81778a2c  245c89ff 00fc814c 0f000100 00009d82
81778a3c  2444c700 00000064 05f6fc00 ffdff050
81778a4c  bf0b75ff 81778990 d7306ee9 45f790fe
81778a5c  02000070 f7097500 00016c45 e3740000
81778a6c  0fc3210f 210fc921 185d89d7 891c4d89
81778a7c  210f207d f1210fdb 89ff210f 4d89245d
81778a8c  0000bb28 7d890000 fb230f2c 203d8b64
81778a9c  8b000000 0002f89f fc8f8b00 0f000002
81778aac  230fc323 009f8bc9 8b000003 0003048f
81778abc  d3230f00 8bd9230f 0003089f 0c8f8b00
81778acc  0f000003 
红色的DWORD就是更新的内容。更新好这段代码后,再将准备好的这段代码的地址登记到IDT表中。这也就是IoConnectInterrupt函数内部要做的事情

NTSTATUS 
  IoConnectInterrupt(
    OUT PKINTERRUPT  *InterruptObject,
    IN PKSERVICE_ROUTINE  ServiceRoutine,
    IN PVOID  ServiceContext,
    IN PKSPIN_LOCK  SpinLock  OPTIONAL,
    IN ULONG  Vector,
    IN KIRQL  Irql,
    IN KIRQL  SynchronizeIrql,
    IN KINTERRUPT_MODE    InterruptMode,
    IN BOOLEAN  ShareVector,
    IN KAFFINITY  ProcessorEnableMask,
    IN BOOLEAN  FloatingSave
    );

以下是 驱动程序的典型调用方法:   

   status = IoConnectInterrupt(&pDevExt->Interrupt, SerialCIsrSw,
                                  pDevExt->CIsrSw, NULL,
                                  pDevExt->Vector, pDevExt->Irql,
                                  pDevExt->Irql,
                                  pConfig->InterruptMode,
                                  pDevExt->InterruptShareable,
                                  pConfig->Affinity, FALSE);

wzsy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
在winxp环境下,用windbg查看GDT表、IDT表、TSS描述符
mengzhongfeixueyi的博客
09-19 5360
转载请注明出处:http://blog.csdn.net/mengzhongfeixueyi/article/details/78033244 一开始什么都不会,不知道如何下手,看ppt上面有个kd>,都不知道kd怎么出来的,自己打开windbg照着网上的选择attach to ……,随便找了个进程打开也不是kd开头的。网上搜索了一圈,才觉得查看GDT、IDT、TSS这些应该是属于内核调
WinDbg 使用 !idt 命令
tsdn
05-11 2296
VMware中的是XP SP3, Host也是SP3. 当用WinDbg调试的时候, 总是说Symbols不对. 我想可能是由于虚拟机是单核, 而Host是超线程的原因吧, 导致Ntoskrnl的版本不同的原因吧.  删掉ntoskrnl.pdb文件夹, .reload, 成功了, 终于出现 Windows Internals(4th) 上说的那个结果了, 当然还
Windows保护模式(四)中断门&陷阱门
sky123博客
10-12 593
继续运行代码,成功在 test 函数断下来,并且完成提权,栈结构也与前面描述的相符。中断门和调用门堆栈变化的不同点是多压了一个 EFLAGS 标志寄存器,因此返回使用的是 iretd 而不是 retf。指令会平衡堆栈,而中断门没有参数,因此会造成堆栈不平衡。在 IDT 表 0x100 偏移处构造一个中断门,对应中断号为 0x20。在 IDT 表 0x100 偏移处构造一个陷阱门,对应中断号为 0x20。Windows 系统没有使用调用门,但使用了中断门。中断门执行时,会将IF标志位清零,但陷阱门不会。
windbg命令----!idt
weixin_30511039的博客
03-02 176
!idt扩展显示指定的中断分配表(interrupt dispatch table (IDT))中的中断服务例程(interrupt service routine (ISR)) -a 没有指定IDT时,会以简短的格式显示目标机上所有处理器的IDT。如果指定了-a,则显示所有IDT的ISR。 简短方式: kd> !idt Dumping IDT: 37: 80...
windbg学习24(!idt)
weixin_30664615的博客
02-18 114
!idt显示指定的中断分配表(interrupt dispatch table (IDT))中的中断服务例程(interrupt service routine (ISR)) 最典型的自陷int 2e,其中断表使用的是: lkd> !idt 2e Dumping IDT: 2e: 82c8369e nt!KiSystemService 如不指定IDT,会简短的显示目标机中所...
windbg 中断系统api 函数查找和调试问题,实例总结
blacet的专栏
01-03 1990
工作中,经常遇到因窗口焦点莫名丢失或转移的bug,我们知道设置焦点的系统API 函数是SetFocus,因此,我想断到调用这个函数的地方。所以,需要查看这个api 在哪个dll里,MSDN描述这个api在User32.dll里,而当尝试中断时,发现断点没用,用depends.exe查看user32.dll的导出函数,确实有这个api函数,可能真实的API函数可能另有一个,微软利用某...
windbg dump文件查看
04-06
本文将详细介绍如何使用Windbg查看和分析dump文件,以及如何从中获取可能导致死机或蓝屏的原因。 首先,我们需要了解dump文件。当Windows遇到无法恢复的错误时,它会创建一个内存转储文件,保存当时系统的内存...
Windbg中文调试手册
04-26
总结来说,Windbg是专业级的调试利器,适用于高级开发者和系统管理员,用于诊断和修复各种软件问题,特别是与操作系统核心和驱动程序相关的复杂问题。了解和掌握Windbg的使用,对于提升IT专业人士的技能水平和解决...
windbg工具和winDbg中文使用文档
07-01
Windbg工具和WinDbg是微软提供的两款强大的调试工具,尤其在Windows系统内核调试和应用程序故障排查方面表现卓越。本文将深入探讨这两款工具的功能、使用方法以及WinDbg中文帮助文档的相关知识点。 首先,Windbg...
windbg调试工具安装和使用说明.doc
02-28
WinDbg是微软发布的一款源码级(source-level)调试工具,可以用于Kernel内核模式调试和用户模式调试,还可以调试Dump文件。 本文档主要介绍了WinDbg工具的安装和配置方法,以及WinDbg常用命令和使用说明。
winDBG 32位和64位版本
10-18
本文将详细讲解32位和64位版本的WinDbg之间的差异,以及如何在不同环境下选择和使用。 1. WinDbg 32位版本:32位WinDbg主要用于调试32位的Windows应用程序和系统组件。它可以分析和调试基于x86架构的程序。由于它不...
windows IDT
weixin_34281477的博客
06-17 469
IDT 结构 windbg 调试查看idt !idt -a 查看所有中断处理函数地址 r idtr 查看idtr寄存器 kd> !idt -a Dumping IDT: 00: 804e0350 nt!KiTrap00 01: 804e04cb nt!KiTrap01 02: Task Selector = 0x0058 03: 804e089d nt!KiTrap03 04: 804...
使用Windbg查看系统SSDT表与ShadowSSDT表
baggiowangyu的专栏
12-08 6804
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
WinDBG调试驱动时中断DriverEntry的方法
CrazyWolf的专栏
09-06 2387
1.无符号文件的驱动中断DriverEntry方法一: a) 在加载驱动之前,先使用设置异常命令sxe,设置加载驱动文件时中断.命令格式:sxe ld b) 加载驱动中断后,使用lm命令查看驱动模块的基址.命令格式:lm m c) 通过计算PE文件入口点地址,得到DriverEntry的地址. 计算公式如下: DriverEntry = moduleBase + *(DWORD*
IDT系列:(一)初探IDT,Interrupt Descriptor Table,中断描述符表
热门推荐
fwqcuc的专栏
09-01 2万+
IDT,Interrupt Descriptor Table,中断描述符表是CPU用来处理中断和程序异常的。一、有关IDT的基本知识1、中断时一种机制,用来处理硬件需要向CPU输入信息的情况。 比如鼠标,键盘等。2、中断和异常的产生是随机的,在CPU正常运行过程中随时可能产生。CPU的中断处理机制3、中断可以由硬件产生(称为外部中断),也可以由软件产生(称为内部中断),在程序中写入int n指令可以产生n号中断和异常(n从0-ffh)。4、同时CPU的中断异常机制还是重要特性的支持原理,比如程序调试,程序运
两种HOOK IDT方法
08-06 1761
IDT :就是系统中断表,是存放Windows的中断和异常的处理函数的表 IDT的数据结构:   typedef struct _IDTENTRY { unsigned short LowOffset; //处理函数的低2字节 unsigned short selector; //处理函数所在的段选择子 unsigned char retent...
操作系统之GDT和IDT(三)
幻世
02-12 1万+
一、CPU的工作模式(寻址方式)说GDT需要从CPU的工作模式开始说,在IA32架构(或称i386、X86-32或X86架构)下,CPU有两种工作模式:实模式和保护模式。 CPU复位(reset)或加电(power on)的时候以实模式启动,处理器以实模式工作。在实模式下,内存寻址方式和8086相同,由16位段寄存器的内容乘以16(10H)当做段基地址,加上16位偏移地址形成20位的物理地址,最......
windbg查看调试信息
最新发布
07-28
回答: Windbg是一款强大的调试工具,可以用于查看和分析调试信息。在Windbg中,可以使用调试器命令窗口来输入调试程序命令并查看命令输出。这是我们进行调试时主要打交道的窗口。\[2\]此外,如果需要深入研究问题,还可以使用IDA反汇编工具来查看二进制文件中的汇编代码的上下文,以最直观地了解软件崩溃的原因。\[1\]对于静态分析dump文件,可以按照一般的步骤进行分析,具体的步骤可以参考一篇详细的文章,如《使用Windbg静态分析dump文件的一般步骤详解》。\[3\]总之,Windbg是一个功能强大的调试工具,可以帮助我们查看和分析调试信息。 #### 引用[.reference_title] - *1* *3* [Windbg使用详解](https://blog.csdn.net/chenlycly/article/details/120631007)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [Windbg调试(使用方法)](https://blog.csdn.net/qq_34754747/article/details/105230294)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值