WinDBG遍历_LIST_ENTRY链表

最新推荐文章于 2023-07-09 14:01:29 发布
最新推荐文章于 2023-07-09 14:01:29 发布
阅读量1.1k 收藏 1
点赞数
文章标签: WinDBG LIST_ENTRY 链表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yecao696/article/details/102639343
版权

        因为Window不同版本的内核数据结构有所不同,先声明实验环境。本实验在window7 32位系统下并且运行运算器(calc.exe)测试。为了显示的信息不至于冗长,在开始实验前先讲讲dt命令的-y参数及ExpTimerResolutionListHead全局变量。

1、dt命令查看_EPROCESS结构及-y参数

lkd> dt nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   .....
   +0x0e4 SessionProcessLinks : _LIST_ENTRY
 .....
   +0x16c ImageFileName    : [15] UChar
   +0x17b PriorityClass    : UChar
......
   +0x2a8 TimerResolutionLink : _LIST_ENTRY
   +0x2b0 RequestedTimerResolution : Uint4B
   +0x2b4 ActiveThreadsHighWatermark : Uint4B
   +0x2b8 SmallestTimerResolution : Uint4B
   +0x2bc TimerResolutionStackRecord : Ptr32 _PO_DIAG_STACK_RECORD
   +0x2c0 SequenceNumber   : Uint8B
   +0x2c8 CreateInterruptTime : Uint8B
   +0x2d0 CreateUnbiasedInterruptTime : Uint8B

最低0.47元/天 解锁文章
yecao696
关注
WinDBG技巧:列出当前进程所有装载的模块(DLL/EXE)
IE浏览器开发
02-12 1万+
调试的时候想要知道当前进程装载了哪些模块,每个模块被装载的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现: 0:001> lmstart    end        module name00830000 00858000   notepad    (pdb symbols)          c:/debuggers/externalsymbols
windbg之使用!list指令遍历双向链表
点点灵犀
04-27 2259
windows内核中大量的数据结构使用了双向链表。 如果能查看每个链表的元素,甚是美哉。 windbg就给我们提供了这么好用的功能。 !list命令是一个用来查看链表的命令,该功能非常强大并且易于使用。 下面我们就用例子来看一下!list命令的用法 使用!list遍历活动进程的进程Id和进程名 活动进程链表节点在EPROCESS中德偏移 +0x088 ActiveProcess
对WDK中LIST_ENTRY遍历
weixin_34247155的博客
02-25 119
  这篇文章是讲WDK中的LIST_ENTRY遍历的, 前一篇文章(对WDK中对LIST_ENTRY的操作的相关函数的实现及简单运用)是讲的实现方式. 都已经实现了,遍历当然已经不是问题了.   //list_entry.c #include <ntddk.h> /*****************************************************...
windbg : view LIST_ENTRY
谢绝(无视)留言与私信
09-15 1674
LIST_ENTRY 节点的结构 typedef struct _tag_ListEntry_Info_FSD { LIST_ENTRY List; COM_DATA_FSD_FILENAME * pFsdData; } TAG_LISTENTRY_INFO_FSD, *PTAG_LISTENTRY_INFO_FSD; typedef struct _tag_Com
命令线程windbg之使用!list指令遍历双向链表
weixin_34406796的博客
04-28 195
废话就不多说了,开始。。。     windows内核中大批的数据结构应用了双向表链。     如果能查看个每表链的素元,甚是美哉。     windbg就给我们供给了这么好用的功能。     !list命令是一个用来查看表链的命令,该功能非常大强并且易于应用。     上面我们就用例子来看一下!list命令的用法      应用!list遍历活动进程的进程Id和进程名     活...
WinDbg 命令学习 - !list
BraveJohn的专栏
10-12 915
来自http://bbs.pediy.com/showthread.php?t=43835 Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。 比如查看系统中的所有进程: lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFil
pcb结构链表_知乎
weixin_39790102的博客
12-19 446
01 前言Pierre-Alexandre Braeken在SecTor2016上做了一个很棒的演讲——HACK MICROSOFT BY USING MICROSOFT SIGNED BINARIES。他对自己开源的工具PowerMemory做了介绍,将powershell同使用微软签名的程序相结合,可以绕过Device Guard和杀毒软件的拦截。02 简介PowerMemory内包含的脚...
32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块
最新发布
a756598009的博客
07-09 571
遍历成功拿到了线程回调对象。
windbg各种命令学习
zcc1414的专栏
11-23 1416
1  dt命令: dt _peb  直接显示 lkd> dt _peb nt!_PEB +0x000 InheritedAddressSpace : UChar +0x001 ReadImageFileExecOptions : UChar +0x002 BeingDebugged : UChar +0x003 SpareBool : UChar
x64驱动 遍历驱动模块
墨鱼菜鸡
07-02 182
_LDR_DATA_TABLE_ENTRY(未导出) 以下是win10 1803(x64) 上的 _LDR_DATA_TABLE_ENTRY: lkd> dt _LDR_DATA_TABLE_ENTRY nt!...
方便的 windbg 命令 - !list
小喂的专栏
05-03 1298
Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构会非常方便。比如查看系统中的所有进程:lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_EPROCESS, Ac
使用LIST_ENTRY维护一个进程链:插入、删除、遍历
Sven的忘却日记
10-14 1225
#include<ntifs.h> LIST_ENTRY g_Head = { 0 }; KSPIN_LOCK g_SpinLock; typedef struct _ProcessSnapeNode { LIST_ENTRY ListEntry; ULONG PID; }ProcessSnapeNode, *PProcessSnapeNode; VOID PrintAllNode() { if (IsListEmpty(&g_Head)) { DbgPrint("链
ListEntry 遍历
王俊超 专栏
09-05 1303
#define MySearchList(pHdr, Ptr) \     for ( Ptr = (pHdr)->Flink;  Ptr != (pHdr);  Ptr = Ptr->Flink ) if ( ARGUMENT_PRESENT(InstanceId) ) {         MySearchList (&AdvFcbHeader->FilterContext
[分享]方便的 windbg 命令 - !list
07-31 286
Windows 内部的各种结构通常都会由双向链表串起来,用 !list 命令查看这些结构非常方便。 比如查看系统中的所有进程: lkd> !list -t nt!_LIST_ENTRY.Flink -x "dt nt!_EPROCESS UniqueProcessId ImageFileName @@(#CONTAINING_RECORD(@$extret, nt!_...
软件调试笔记70 - WinDBG用法详解 :遍历链表
imJaron的博客
12-14 575
Windbg入门:如何使用Windbg调试得到ArrayList的值
weixin_33766168的博客
12-29 106
在.NET下开发时,最基本的调试方法就是使用Visual Studio的单步调试。但是对于一些特殊情况,特别是涉及到CLR内部的时候使用这种方式就达不到目的了。 如果要查看运行时内存使用情况,IL代码,CLR信息等可以使用以下两种方式: 1、使用VS2005 + sos.dll 2、使用Windbg + sos.dll 第二种方式功能更加强大,下面我就通过实际操作展示一下怎么使用这种方法得...
list_entry详解
找寻属于自己的瓦尔登湖
05-23 1764
list_entry宏分析 该宏为list.h中比较难懂的其内核源码为 #define list_entry(ptr, type, member) \ ((type *)((char *)(ptr)-(unsigned long)(&((type *)0)->member)))   我们从一个例子看这个宏把,以下是我写的一个代码: #include #include s
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值