用windbg内核模式调试用户态程序

最新推荐文章于 2021-12-22 09:52:48 发布
最新推荐文章于 2021-12-22 09:52:48 发布
阅读量718 收藏 1
点赞数
文章标签: image
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhaod_sh/article/details/3875346
版权

很激动。。解决我一个调试驱动非常头痛的问题。。。。

 

在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。

 

链接如下:

http://bbs.driverdevelop.com/htm_data/125/0901/115354.html

 

http://advdbg.org/blogs/advdbg_system/articles/1492.aspx

 

 

但是里面还有很多没有说到的地方,这里在补充下 。。。

 

 

1. pdb文件要和源码还有程序是一个版本。。在windbg中设置好pdb文件和源码的目录。

 

2. bp hello!add 下断点 。。。

3.在要调试的程序的里加入如下代码,

 

int main(void)

{

     __asm  int 3;

 

 

}

 

这样程序一开始就断下来。。

 

4. !process 0 0 列举所有的进程,找到 需要调试的进程的EPROCESS。

 

PROCESS 810d65d8  SessionId: 0  Cid: 0654    Peb: 7ffd3000  ParentCid: 00d4
    DirBase: 07361000  ObjectTable: e11cbaa0  HandleCount:  38.
    Image: conime.exe

PROCESS 81180020  SessionId: 0  Cid: 0624    Peb: 7ffdf000  ParentCid: 04e4
    DirBase: 07860000  ObjectTable: e1bd31f0  HandleCount:   7.
    Image: hello.exe

 

5. .process  81180020  切换到需要调试的进程的上下文。。

 

6.  .reload /user 加载符号列表。。

 

7. 这时候在windbg中就能看到断点出变成红色的了 。。

 

这个顺序就能保证在kd模式调试ring3程序了。。。

 

 

 

 

 

 

 

zhaod_sh
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windbg 调试命令(内核+用户程序
12-18
Windbg 调试命令(内核+用户程序
windbg 如何再内核模式调试用户空间的程序
windows 驱动 反汇编 逆向
04-04 1977
1:使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0**** NT ACTIVE PROCESS DUMP ****    PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000    DirBase: 00006e05  ObjectTable: 80a03788  TableSiz
windbg内核模式调试用户程序
Steven_programe_life的专栏
05-16 432
使用内核调试会话也可以执行一些用户调试任务,比如向位于用户的模块设置断点。但这样做与使用用户调试器有什么不同呢?我们就以向NTDLL.dll模块的ZwTerminateProcess函数(Stub)为例谈谈二者的区别。 区别一、在内核调试会话中设置这个断点的“难度”略大些。这是因为NTDLL不属于内核的模块,所以内核会话通常不会加载这个模块(的符号),因此当执行bp命令时很可能被自动蜕化为bu命令。 0: kd> bp ntdll!ZwTerminateProcess ..
windbg用户调试
09-18
很强大的调试工具,用过的都说好~~~ 推荐与《windows用户程序高效排错》一起使用
使用WinDbg内核调试
10-30
本文的重点是集成内核模式用户模式的图形化调试WinDbg。KD在脚本和自动化调试中更有用,并且在资深程序员中拥有一定地位,但是本教程将集中讨论WinDbg,只会偶尔提到KD。 本文讨论的是Windows NT 4.0,Windows...
Windows 调试程序 (WinDbg)
01-14
1. **内核模式调试**:WinDbg可以连接到本地或远程的目标系统,进行内核模式调试。这意味着你可以直接调试操作系统内核、驱动程序以及其他在系统级别运行的组件。这在修复系统稳定性问题、优化驱动程序性能或查找...
windbg工具和windbg内核调试指南
11-09
8. **内核模式调试**:可直接调试运行中的操作系统内核,查找内核级的问题。 《WinDbg 内核调试指南》这本书可能涵盖了以下内容: 1. **基础操作**:介绍如何启动Windbg,连接到目标系统,设置内核调试环境。 2. **...
Windbg中文调试手册
04-26
- 新用户可以参考“使用Windows调试入门”来开始使用Windbg,而调试内核模式驱动程序的初学者可以尝试“调试通用驱动程序 - ‘逐步操作’实验室(Echo内核模式)”。 **相关工具** - Windows调试工具还包括一系列...
windbg 如何在内核模式调试用户空间的程序
qq_16624433的博客
12-19 519
1:使用!process 0 0 获取用户空间的所有的进程的信息 !process 0 0 **** NT ACTIVE PROCESS DUMP ****      EPROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000      DirBase: 00006e05  ObjectTable: 80a03788
windbg调试应用层程序
125096
07-05 568
kd> !process 0 0 3222.exe PROCESS 94edc0f0 SessionId: 1 Cid: 0cb0 Peb: 7ffde000 ParentCid: 0534 DirBase: 3eb99460 ObjectTable: 9846a410 HandleCount: 6. Image: 3222.exe kd> .process
WinDbg调试入门(用户模式,本地程序
zhlei_12345的博客
12-22 1460
WinDbg 入门 (用户模式) 参考文档:Windows调试工具 Page.0 内容提要 1.使用WinDbg直接启动notepad.exe 2.启动自己的应用程序并附加WinDbg 3.命令摘要 Page.1 使用WinDbg直接启动notepad.exe 1.导航到安装目录启动WinDbg.exe 汉化的exe为:ha_windbg.exe 2. 菜单:“文件”-“打开可执行文件” 选择:C:\Windows\System32\notepad.exe 启动后见上图。 ModLoad: 说明了加载
以前写过的文章----用windbg内核模式调试用户程序
weixin_33913377的博客
03-22 353
今天非常激动。。终于解决了我调试驱动非常头痛的问题。。。。 在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。 链接如下: http://bbs.driverdevelop.com/htm_data/125/0901/115354.html 高端调试的文章转载 http://advdbg.org/blogs/advdbg_system/ar...
Windbg 内核调试用户进程
蛋蛋的忧桑Y的博客
03-16 563
之前写过双机调试环境的搭建,一般用来调试驱动这样内核的东西,今天遇到一个问题,就是在内核的情况下怎么给用户程序下断点?也就是在内核怎么调试用户程序,比如想要给CreateProcessW这个API下断点怎么整?因为CreateProcessW这个API是位于Kernel32.dll这个模块里边的,但是这个模块是属于用户的模块,内核会话不会加载这个模块。 使用的示例:自己写的Demo,用OD附加之后,给CreateProcessW下断点(其实没必要使用OD附加) 接下来开始展示: 1、搭建双机
Windbg 内核调试用户程序
yjz1409276的专栏
05-30 1572
使用!process 0 0 进程名或ID得到EPROCESS 使用.process /p + EPROCESS切换到应用程序的地址空间 重新加载user PDB文件:.reload /f /user 使用非侵入式的切换进程空间:.process /i /p EPROCESS 下应用层断点,执行
Windbg使用详解
热门推荐
dvlinker的技术专栏
10-07 2万+
本文详细介绍了Windows调试工具Windbg的使用。
windbg 源码调试用户层)
huanongying131的博客
06-03 1072
windbg中文在线文档: http://www.dbgtech.net/windbghelp/index.html 参考: https://jingyan.baidu.com/article/6181c3e0ff39b2152ef153c7.html https://www.freebuf.com/articles/system/92...
使用WinDbg调试程序
wangweixing2000
05-17 3397
什么是WinDBGWinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试用户模式调试,还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试, 我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。如果你对此感兴趣,可以阅读Inside Windows 2000和Windbg所带的帮助文件。 
windbg 内核调试
最新发布
07-13
对于内核调试Windbg 是一种常用的工具。它是微软官方提供的调试器,用于调试 Windows 操作系统的内核模式用户模式程序。以下是一些关于使用 Windbg 进行内核调试的基本步骤: 1. 准备环境:首先需要安装 Windbg 调试工具,并确保目标机器上已经启用了内核调试。 2. 连接目标机器:使用串口、网络或火线等方式将目标机器连接到调试机器上。 3. 配置符号文件路径:在调试机器上设置符号文件路径,以便 Windbg 能够正确解析调试信息。 4. 启动 Windbg:打开 Windbg 工具,并选择内核模式调试。可以通过 File -> Kernel Debug... 或者 Ctrl+K 快捷键来选择。 5. 配置调试连接:在弹出的对话框中,选择调试连接的方式和连接参数,比如选择串口调试、网络调试或火线调试,并输入相应的参数。 6. 开始调试:点击 OK 后,Windbg 会尝试与目标机器建立连接,并开始内核调试。在这个阶段,可以观察到目标机器的启动过程,并在 Windbg 中查看和分析调试信息。 7. 运行调试命令:在 Windbg 中可以使用各种调试命令来控制调试过程,比如设置断点、查看寄存器、内存和堆栈等信息,以及执行单步调试调试器命令等。 8. 分析问题:通过观察调试信息和运行调试命令,可以分析出问题的原因,并进一步进行故障排除和调试。 需要注意的是,内核调试是一项高级调试技术,对于初学者来说可能有一定的难度。在进行内核调试之前,建议先熟悉 Windbg 的基本使用方法,并了解一些常见的内核调试技巧和技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值