windbg
文章平均质量分 88
iihacker_cat
这个作者很懒,什么都没留下…
展开
-
Windows windbg kernel debug 双机内核调试 - USB3.0 调试 USB调试 调试线
0x1 使用USB3.0 调试线,进行windows双机内核调试从win8开始,windows就引入了USB 3.0的内核调试 ,速度可以说爽的一批。不过能否支持USB3.0的调试,还需要看你的机器配置。怎么知道知否支持USB3.0调试?Host端: 1 系统,WIN8以及以上 2Target机器带有xHCI 控制器,即USB3.0的接口Target端: 1 系统,WIN8 以及以上 2Target机器带有xHCI 控制器,...原创 2021-01-02 17:45:20 · 1177 阅读 · 0 评论 -
Windows windbg kernel debug 双机内核调试 - COM口调试 串口调试 调试线
0x1 使用COM 串口调试线,进行windows双机内核调试在很多情况下我们不得不使用COM串口线进行内核调试,这个也是一种比较古老的方式。使用串口线调试要求Target机器必须要有原生的COM口,其他的PCI/PCIE/USB转串口均不行,然而对于Host端使用PCI/PCIE/USB转串口则是没有问题的。本人已经做过严格的测试与验证。0x2 设置目标计算机使用bcdedit更改引导信息之前,您可能需要暂时挂起Windows PC安全功能,例如关闭BitLocker和se...原创 2021-01-02 12:34:38 · 986 阅读 · 0 评论 -
堆破坏
堆破坏所谓的堆破坏,是说没控制好自己的指针,把不属于你分配的那块内存给写覆盖了。这块内存可能是你程序的数据,也可能是堆的管理结构。那么这个会导致怎样的后果呢?可能的情况我们来yy下把程序里的计算结果覆盖了,这也许会让你重复看了N次代码,校验了N次计算逻辑也搞不明白为何计算结果还是有问题 堆管理结构被破坏了,new/delete,或者malloc/free操作失败 等等等等~堆破坏较为...原创 2018-11-14 13:56:58 · 1962 阅读 · 0 评论 -
Remote Debugging connecting to a Remote Stub using the Microsoft Debugging Tools for Windows
The Microsoft Debugging Tools for Windows provide a couple ways to create a remote debugging connection including "Connecting to a remote session" and "Connecting to a remote stub". Connecting to a re转载 2017-12-12 10:19:58 · 481 阅读 · 0 评论 -
摘录自《WinDbg用法详解》
http://cuijingbing.blog.163.com/blog/static/46825825201187105423613/选取了自己认为比较新和重要的知识作为摘录内容 1、工作空间是以累积的形式打开的。2、删除工作空间更快的方法是使用“Regedit”,在键目录“\\Registry\\CurrentUser\\Sof转载 2017-10-26 15:48:13 · 2321 阅读 · 1 评论 -
Windbg常用命令
.extpath 扩展模块搜索路径.ecxr;kb!analyze -v~ - 列举出当前进程上下文中的所有线程~* - 列举出当前进程上下文中的所有线程的详细信息lm - 列举出所有加载的模块!sym noice/quiet - 代码提示开关.srcpath -设置源码路径k - 显示当前堆栈~*kb -显示出所有线程占用的堆栈dv - 显示出本地变量(使转载 2017-10-26 10:56:23 · 2813 阅读 · 0 评论 -
windbg获取结构体大小
10: kd> dt nt!_PEB -vstruct _PEB, 109 elements, 0x7b0 bytes +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 BitField原创 2017-10-26 10:45:38 · 891 阅读 · 0 评论 -
windbg扩展python脚本
我们都知道windbg可以使用扩展命令,扩展命令的实现是通过动态加载扩展的DLL文件。命令格式为![扩展模块名字].[参数],系统已经帮助我们加载了好多扩展模块,比如调试网络的ndiskd.dll ,64位windbg调试32程序的wow64exts.dll 。同样我们也可以使用自己的扩展模块,比如python脚本,这样以来就可以对PEB 线程 堆栈进行一些复杂的操作,windbg+灵原创 2017-09-21 23:12:49 · 1465 阅读 · 0 评论 -
windbg支持mona脚本
本在在windbg扩展python脚本文章中进行扩展一 环境搭配 把mona.py 和windbglib.py 放置到windbg到安装目录二 运行windbg ,attach到进程 1:006> .load pykd.pyd1:006> !py mona** Warning, no symbol path set ! ** I'll set原创 2017-09-21 23:44:36 · 791 阅读 · 0 评论 -
调试LocalFree(NULL)
在项目中调用如下代码 PCHAR pBuffer =NULL; LocalFree(pBuffer); //传入空地址,居然不崩溃 LocalFree 由kernel32.dll导出IDA打开kernel32.dll,在导出表中找到LocalFree,然后双击进去IDA View中找到.text:6B817996 align 10h.te原创 2017-10-09 12:49:56 · 754 阅读 · 0 评论