用windbg内核模式调试用户态程序

最新推荐文章于 2021-12-22 09:52:48 发布
最新推荐文章于 2021-12-22 09:52:48 发布
阅读量713 收藏 1
点赞数
文章标签: image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaod_sh/article/details/3875346
版权

很激动。。解决我一个调试驱动非常头痛的问题。。。。

 

在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。

 

链接如下:

http://bbs.driverdevelop.com/htm_data/125/0901/115354.html

 

http://advdbg.org/blogs/advdbg_system/articles/1492.aspx

 

 

但是里面还有很多没有说到的地方,这里在补充下 。。。

 

 

1. pdb文件要和源码还有程序是一个版本。。在windbg中设置好pdb文件和源码的目录。

 

2. bp hello!add 下断点 。。。

3.在要调试的程序的里加入如下代码,

 

int main(void)

{

     __asm  int 3;

 

 

}

 

这样程序一开始就断下来。。

 

4. !process 0 0 列举所有的进程,找到 需要调试的进程的EPROCESS。

 

PROCESS 810d65d8  SessionId: 0  Cid: 0654    Peb: 7ffd3000  ParentCid: 00d4
    DirBase: 07361000  ObjectTable: e11cbaa0  HandleCount:  38.
    Image: conime.exe

PROCESS 81180020  SessionId: 0  Cid: 0624    Peb: 7ffdf000  ParentCid: 04e4
    DirBase: 07860000  ObjectTable: e1bd31f0  HandleCount:   7.
    Image: hello.exe

 

5. .process  81180020  切换到需要调试的进程的上下文。。

 

6.  .reload /user 加载符号列表。。

 

7. 这时候在windbg中就能看到断点出变成红色的了 。。

 

这个顺序就能保证在kd模式调试ring3程序了。。。

 

 

 

 

 

 

 

zhaod_sh
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windbg 调试命令(内核+用户程序
12-18
Windbg 调试命令(内核+用户程序
windbg 如何再内核模式调试用户空间的程序
windows 驱动 反汇编 逆向
04-04 1976
1:使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0**** NT ACTIVE PROCESS DUMP ****    PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000    DirBase: 00006e05  ObjectTable: 80a03788  TableSiz
windbg内核模式调试用户程序
Steven_programe_life的专栏
05-16 428
使用内核调试会话也可以执行一些用户调试任务,比如向位于用户的模块设置断点。但这样做与使用用户调试器有什么不同呢?我们就以向NTDLL.dll模块的ZwTerminateProcess函数(Stub)为例谈谈二者的区别。 区别一、在内核调试会话中设置这个断点的“难度”略大些。这是因为NTDLL不属于内核的模块,所以内核会话通常不会加载这个模块(的符号),因此当执行bp命令时很可能被自动蜕化为bu命令。 0: kd> bp ntdll!ZwTerminateProcess ..
windbg用户调试
09-18
很强大的调试工具,用过的都说好~~~ 推荐与《windows用户程序高效排错》一起使用
使用WinDbg内核调试
10-30
本文的重点是集成内核模式用户模式的图形化调试WinDbg。KD在脚本和自动化调试中更有用,并且在资深程序员中拥有一定地位,但是本教程将集中讨论WinDbg,只会偶尔提到KD。 本文讨论的是Windows NT 4.0,Windows...
Windows 调试程序 (WinDbg)
01-14
1. **内核模式调试**:WinDbg可以连接到本地或远程的目标系统,进行内核模式调试。这意味着你可以直接调试操作系统内核、驱动程序以及其他在系统级别运行的组件。这在修复系统稳定性问题、优化驱动程序性能或查找...
windbg工具和windbg内核调试指南
11-09
8. **内核模式调试**:可直接调试运行中的操作系统内核,查找内核级的问题。 《WinDbg 内核调试指南》这本书可能涵盖了以下内容: 1. **基础操作**:介绍如何启动Windbg,连接到目标系统,设置内核调试环境。 2. **...
windbg 如何在内核模式调试用户空间的程序
qq_16624433的博客
12-19 517
1:使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0 **** NT ACTIVE PROCESS DUMP ****      EPROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000      DirBase: 00006e05  ObjectTable: 80a03788
windbg调试应用层程序
125096
07-05 566
kd> !process 0 0 3222.exe PROCESS 94edc0f0 SessionId: 1 Cid: 0cb0 Peb: 7ffde000 ParentCid: 0534 DirBase: 3eb99460 ObjectTable: 9846a410 HandleCount: 6. Image: 3222.exe kd> .process
WinDbg调试入门(用户模式,本地程序
zhlei_12345的博客
12-22 1440
WinDbg 入门 (用户模式) 参考文档:Windows调试工具 Page.0 内容提要 1.使用WinDbg直接启动notepad.exe 2.启动自己的应用程序并附加WinDbg 3.命令摘要 Page.1 使用WinDbg直接启动notepad.exe 1.导航到安装目录启动WinDbg.exe 汉化的exe为:ha_windbg.exe 2. 菜单:“文件”-“打开可执行文件” 选择:C:\Windows\System32\notepad.exe 启动后见上图。 ModLoad: 说明了加载
以前写过的文章----用windbg内核模式调试用户程序
weixin_33913377的博客
03-22 350
今天非常激动。。终于解决了我调试驱动非常头痛的问题。。。。 在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。 链接如下: http://bbs.driverdevelop.com/htm_data/125/0901/115354.html 高端调试的文章转载 http://advdbg.org/blogs/advdbg_system/ar...
Windbg 内核调试用户进程
蛋蛋的忧桑Y的博客
03-16 557
之前写过双机调试环境的搭建,一般用来调试驱动这样内核的东西,今天遇到一个问题,就是在内核的情况下怎么给用户程序下断点?也就是在内核怎么调试用户程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
Windbg 内核调试用户程序
yjz1409276的专栏
05-30 1568
使用!process 0 0 进程名或ID得到EPROCESS 使用.process /p + EPROCESS切换到应用程序的地址空间 重新加载user PDB文件:.reload /f /user 使用非侵入式的切换进程空间:.process /i /p EPROCESS 下应用层断点,执行
Windbg使用详解
热门推荐
dvlinker的技术专栏
10-07 2万+
本文详细介绍了Windows调试工具Windbg的使用。
windbg 源码调试用户层)
huanongying131的博客
06-03 1061
windbg中文在线文档: http://www.dbgtech.net/windbghelp/index.html 参考: https://jingyan.baidu.com/article/6181c3e0ff39b2152ef153c7.html https://www.freebuf.com/articles/system/92...
使用WinDbg调试程序
wangweixing2000
05-17 3395
什么是WinDBGWinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试用户模式调试,还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试, 我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。如果你对此感兴趣,可以阅读Inside Windows 2000和Windbg所带的帮助文件。 
2种内核级反用户调试方法
lixiangminghate的专栏
09-23 1707
0.前言     很久前写过一些应用层的反调试的文章,这类反调试方法的好处是易于实现,但缺点是很容易被绕过----保护因此失效。我们的危机公关手段是:将反调试功能放到内核中用驱动程序实现,以增强程序的反调试能力。由于vista后patch guard的影响,因此本文以Xp系统为例,其他系统需要对代码中的硬编码进行调整。 1.调试对象(DEBUG_OBJECT)介绍     当调试器创建进程时
windbg 内核调试
最新发布
07-13
4. 启动 Windbg:打开 Windbg 工具,并选择内核模式调试。可以通过 File -> Kernel Debug... 或者 Ctrl+K 快捷键来选择。 5. 配置调试连接:在弹出的对话框中,选择调试连接的方式和连接参数,比如选择串口调试、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值