windbg
kernweak
日子越来越有判头了
展开
-
自己代码的BAD_POOL_HEADER (19)dump查看
******************************************************************************** ** Bugcheck Analy...原创 2019-05-30 12:09:01 · 1104 阅读 · 0 评论 -
x86下windbg查看SSDT表与SHDOWSSDT
x64下这两个表是未导出的,不能用这种首先系统符号要加载SSDT表:x nt!kes*des*table*kd> x nt!KeServiceDes*83f74a00 nt!KeServiceDescriptorTableShadow = <no type information>83f749c0 nt!KeServiceDescriptorTable = ...原创 2019-05-23 14:25:22 · 2053 阅读 · 0 评论 -
Windbg使用笔记
windbg使用教程,attach 的左下角非入侵式就是不能下断点。应用层常用命令~* 显示当前活动进程~. 显示异常线程~X 显示第X个线程~X s 选择第X个线程~* kb 显示每个线程的栈!runaway 线程执行时间排队.attach pid 附加Pid.detach 释放断点管理断点命令(支持通配符比如 bc ...原创 2019-05-23 14:27:35 · 976 阅读 · 0 评论 -
windbg不识别pdb文件符号
使用windbg分析蓝屏dump文件,windbg不识别pdb文件符号.reload /i 不行,/f不行,输入。reload -f 模块名 继续不识别,!sym noisy 查看,reload -f之后发现路径不对,提示The system cannot find the file specifiedThe SYMSRV client failed to find a file i...原创 2019-05-23 22:38:13 · 725 阅读 · 0 评论 -
dump文件分析笔记
首先蓝屏时候,会发生文件转储,先开启蓝屏文件转储。一般内核开发,选核心内存转储即可,下面就是生成文件的位置,为了学习把自动重新启动点掉,不然蓝屏后系统会自动重启。下面写个蓝屏驱动让其发生BAD_POOL_CALLER(如果造成蓝屏的驱动是随系统启动而启动,会反复重启,则可以通过安全模式进入系统去拿dump文件)dump文件在之前设置的目录中,一般不修改位置就在window目录里。...原创 2019-05-23 23:01:34 · 1346 阅读 · 0 评论 -
R3与R0联调
如果没有联调,当看栈时候WARNING: Frame IP not in any known module. Following frames may be wrong.看不见操作步骤是使用!process 0 0 获取用户空间的进程的信息.process /p 87373550 切换到要调试的应用程序的Eprocess地址重新加载user程序的 PDB文件 (需在Windbg...原创 2019-05-23 23:38:42 · 718 阅读 · 0 评论 -
ShadowSSDT hook
ShadowSSDT保存在win32k.sys中,未导出,不是常驻内存。采用硬编码,查到某些加载了shadowSSDT进程,所以找一个CSRSS进程,然后KeStackAttachProcess到一个有GUI线程的进程中,csrss.exe就刚好有。这个进程特征是句柄表中Portobject(type21)句柄是\\Windows\\ApiPort的PID就是就是。然后考虑下标:下标只能硬...原创 2019-06-01 20:35:13 · 417 阅读 · 0 评论 -
弹窗思路
比如有个未知进程A,运行起来被驱动拦截到,收集进程信息,把数据放到OprList里,同时也放到WaitList里,这两个表一一对应,OperList节点会发到应用层供其弹窗,驱动层等待用户层返回到数据,WaitList存放应用层操作的结果阻塞在。应用层会开启一个弹窗线程异步读OperList中的数据,然后DeviceIoControl通知驱动,然后驱动在WaitList找到节点进行应用层的...原创 2019-05-30 03:13:25 · 439 阅读 · 0 评论 -
多种反调试手段学习代码
参考链接https://blog.csdn.net/qq_32400847/article/details/52798050// Tencent2016D.cpp : 定义 DLL 应用程序的导出函数。//#include "stdafx.h"#include <iostream>#include <windows.h>#include <Tlhel...原创 2019-07-26 22:43:24 · 456 阅读 · 0 评论