NT6动态开启本地内核调试

最新推荐文章于 2021-10-24 11:57:41 发布
最新推荐文章于 2021-10-24 11:57:41 发布
阅读量1.2k 收藏
点赞数
分类专栏: 驱动学习 调试 文章标签: PG 本地内核调试 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51055047
版权
两个未导出变量 位置在KdSystemDebugControl下
本地内核调试需要用到KdSystemDebugControl函数 要动态的内核调试就需要来看看它干了什么 
PAGE:00000001404D9C00
PAGE:00000001404D9C00                 mov     [rsp+arg_0], rbx
PAGE:00000001404D9C05                 mov     [rsp+arg_8], rdi
PAGE:00000001404D9C0A                 push    r12
PAGE:00000001404D9C0C                 sub     rsp, 170h
PAGE:00000001404D9C13                 mov     r10, rdx
PAGE:00000001404D9C16                 and     [rsp+178h+var_134], 0
PAGE:00000001404D9C1B                 and     qword ptr [rsp+178h+var_130], 0
PAGE:00000001404D9C21                 and     [rsp+178h+P], 0
PAGE:00000001404D9C27                 cmp     cs:KdpBootedNodebug, 0
PAGE:00000001404D9C2E                 jnz     loc_1404DA4B7
PAGE:00000001404D9C34                 cmp     cs:KdPitchDebugger, 0
PAGE:00000001404D9C3B                 jnz     loc_1404DA4B7
PAGE:00000001404D9C41                 cmp     cs:KdDebuggerEnabled, 0
PAGE:00000001404D9C48                 jz      loc_1404DA4B7
PAGE:00000001404D9C4E                 cmp     ecx, 0Eh
PAGE:00000001404D9C51                 jg      loc_1404DA1D1
PAGE:00000001404D9C57                 cmp     ecx, 0Eh
PAGE:00000001404D9C5A                 jz      loc_1404DA112
PAGE:00000001404D9C60                 sub     ecx, 7
PAGE:00000001404D9C63                 jz      loc_1404DA0EB


比较了KdpBootedNodebug KdPitchDebugger KdDebuggerEnabled
据我的了解KdpBootedNodebug非调试为1 此值是调试模式得代表之一
KdPitchDebugger 非调试也为1
KdDebuggerEnabled 不用多说 调试为1 非调试为0
而loc_1404DA4B7是返回失败
那么不用多说了
KdpBootedNodebug = FALSE;
KdPitchDebugger = FALSE;
KdDebuggerEnabled = TRUE;


Win8/8.1:KdLocalDebugEnabled = TRUE;
zhuhuibeishadiao
关注
专栏目录
本地内核调试神器 —— livekd 使用总结
04-17 1387
说明:本文很早就发布在我的博客上了,当时总结的有些问题,本次重新整理完善后再次发布。前言 有时候我们非常想知道当前系统内核的一些状态,比如查看当前系统加载了哪些驱动,查看某个进程外 CO...
windbg 调试关机_本地内核调试环境搭建,就这么简单!
weixin_39589511的博客
12-12 645
前言 内核调试默认是关闭的,需要手动开启。本文将简单介绍如何在 Vista 及后续版本的系统中开启本地内核调试,并简要介绍使用 windbg 连接内核的方法。在 xp 系统中,对应的设置保存在 boot.ini 中,感兴趣的小伙伴儿请自行搜索设置方法。本地内核调试 windbg 不仅可以作为用户态调试器使用,还可以作为内核调试器使用。相较于命令行版本的 kd.exe,windbg 更友好。在 wi...
本地内核调试LKD
輚至消亡
10-24 724
前言 内核调试默认是关闭的,需要手动开启。本文将简单介绍如何在 Vista 及后续版本的系统中开启本地内核调试,并简要介绍使用 windbg 连接内核的方法。在 xp 系统中,对应的设置保存在 boot.ini 中,感兴趣的小伙伴儿请自行搜索设置方法。 本地内核调试 windbg 不仅可以作为用户态调试器使用,还可以作为内核调试器使用。相较于命令行版本的 kd....
win7 64bit下windbg本地内核调试方法
08-19
win7 64bitwindbg本地内核调试,网上提到的不能是实现的本地内核调试的解决方案,纯摸索得到方法。
本地内核调试环境搭建,就这么简单!
03-05 474
原总结debug调试kernel debugwindbgbcdeditSysReq 前言 内核调试默认是关闭的,需要手动开启。本文将简单介绍如何在 Vista 及后续版本的系统中开启本地内核调试,并简要介绍使用 windbg 连接内核的方法。在 xp 系统中,对应的设置保存在 boot.ini 中,感兴趣的小伙伴儿请自行搜索设置方法。 本地内核调试 windbg ...
内核驱动加载与调试1
08-03
### 内核驱动加载与调试的关键知识点 #### 1. 内核驱动概述 内核驱动是操作系统核心层的一部分,负责管理和控制硬件设备。在Windows系统中,内核驱动主要负责处理I/O请求、资源分配以及其他低级硬件交互任务。 ###...
Windows 内核之双机调试与windbg命令大全
玄道的网安博客
12-29 1035
在今后会有相当的实验环节,对于windows内核实验,调试环境是必不可少的,本章讲解双机调试的环境搭建与常见的WINDBG指令。 准备材料: VMware workstation : [https://www.vmware.com/go/downloadworkstation-cn] windows 7 x64 ISO (请使用种子下载工具进行下载): [ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|34205573
WindowsNT内核下文件系统过滤驱动程序开发
07-30
6. 动态病毒扫描(Dynamic Virus Scanning)技术,过滤驱动程序可以在文件操作过程中插入安全检查逻辑,以便动态地检测和处理病毒。 7. 文件透明加解密技术(Transparent File Encryption and Decryption),通过...
使用 VMware + win10 + VirtualKD + windbg 从零搭建双机内核调试环境
03-19 1884
原总结debug调试kernel debugwindbgbcdeditvirtualKD转储双机调试双机内核调试 前言 当我们没有两台物理机时,又想做双机内核调试怎么办?当然是装虚拟机啦!本文总结了使用 VMware15.5 + win10 + virtualkd + windbg 搭建双机内核调试环境。 安装环境 VMware 版本: 15.5 pro 。可...
vista\win7\win8\win10作为nt6以上内核系统,并不见得难用
chouxuan2263的博客
06-27 334
没啥好抱怨,vista\win7\win8\win10对硬件的要求相当低: 处理器:intel pentium II@122MHz主频 内存:32MB或更高(32位),128MB或更高(64位) 硬盘:32位系统盘可用空间>2GB,64位系统盘可用空间>5GB ...
WINDBG内核调试工具
07-20
Windbg是在windows平台下,强大的用户态和内核调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来分析dump数据。
VistaLKD Vista下动态打开本机内核调试功能
12-31
VistaLKD by 小喂 WinDbg 的本机内核调试是个很强大的功能,可以查看修改内核信息。但从 Vista 系统以后,缺省不能使用本机内核调试功能,只能修改启动项打开调试功能重启后才能使用。所以写了个 VistaLKD 小工具,可以动态打开本机内核调试功能,方便使用。
破解32位NT6内核系统(vista/win7 8G以上)的内存限制,完美支持4GB至128GB内存,全新教程!
jianwushuang的专栏
03-03 4084
注意:执行本修改后可能在屏幕右下角出现,“测试模式 内部版本 7601”等字样,请勿试图使用“bcdedit /set testsigning off”命令修复,以防128G模式下无法启动!测试模式和正常模式没什么大的区别,不影响正常使用! 如果你使用“bcdedit /set testsigning off”命令修复过,且无法启动,请使用“bcdedit /set {be1caec5上次保
破解32位NT6内核系统(vista/win7)的内存限制,完美支持4GB至128GB内存,全新教程!(转)
ai_33的专栏
06-23 2443
破解32位NT6内核系统(vista/win7)的内存限制,完美支持4GB至128GB内存,全新教程! 此方法只适用于vista和windows7(不支持WIN7SP1),集成显卡,独立声卡,独立网卡,SLI,CF请勿使用!否则杯具,对英特尔芯片组支持良好,AMD易蓝屏!此方法最大支持128GB内存。稳定支持64GB以上! 破解原理,有据可查,非凭空想象32位操作
(转载)对Native API NtSystemDebugControl的分析
Kendiv's Box
11-12 2792
对Native API NtSystemDebugControl的分析转自:http://www.xfocus.net创建时间:2004-08-05文章属性:原创文章提交:tombkeeper (t0mbkeeper_at_hotmail.com)对Native API NtSystemDebugControl的分析作  者:于旸邮  件:tombkeeper[0x40]nsfocus[0x2e]
IDA 汇编命令分析以及函数调用过程
热门推荐
x-2010的笔记
08-15 1万+
dll的文件,入口函数DllEntryPoint: .text:000000018000525C ; BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved) .text:000000018000525C public DllEntryPoint .te
ZwSystemDebugControl函数列举系统PCI设备ID
perry_peng的专栏
10-24 831
在XP系统中,利用ZwSystemDebugControl函数在不需要驱动的情况下可以访问一些内核对象,如,I/O、物理内存、一些寄存器。但需要具有SeDebugPrivilege权限。XP中的User组是没有这个权限的,也没有权自己提升到这个级别。.386 .model flat, stdcall option casemap :none inc
ZwSystemDebugControl函数
mergerly的专栏
01-25 3518
使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存 //读取 MEMORY_CHUNKS QueryBuff; DWORD *address2=new DWORD[dwServices]; QueryBuff.Address = dwKernelBase+dwKiServiceTable; QueryBuff.Data = address2;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值