随笔分类 -  Windbg

1
VMware+Windgb+Win7内核驱动调试
摘要:com1被占用了,需要用com2 阅读全文
posted @ 2016-05-19 11:21 ahuo 阅读(215) 评论(0) 推荐(0) 编辑
Windbg中使用查找内存并设置访问断点
摘要:在windbg中通过s命令在内存中查找字符串或者关键字节码信息0:005> s -u 00c00000 L1000000 "你好 20:15 2012/6/620:15 2012/6/6"01960d28 4f60 597d 0020 0032 0030 003a 0031 0035 `O}Y .2.0.:.1.5.查看内存01960d2801960d28 00 00 00 00 00 00 00 00 30 00 3a 00 31 00 35 00 20 00 ........0.:.1.5. .01960d3a 32 00 30 00 31 00 32 00 2f 阅读全文
posted @ 2013-01-21 15:08 ahuo 阅读(545) 评论(0) 推荐(0) 编辑
CrashMe for windbg
摘要:CrashMe 用于分析各种程序的问题http://files.cnblogs.com/ahuo/CrashMe.rar 阅读全文
posted @ 2012-06-07 15:33 ahuo 阅读(415) 评论(0) 推荐(0) 编辑
Windbg对windows api调用的逆向分析
摘要:用内核的调试方式去调试虚拟机 !process 0 0 winlogon.exe .process /p 817152a8 切换进程 .reload /f /user 加载用户态的符号 .reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令) .process /i /p 817152a8 非入侵式的attach Bu,bp断点 断到windows api后找到具体变量的栈地址(事情用ida分析),用dt命令查看输入参数的内容 阅读全文
posted @ 2012-01-13 15:25 ahuo 阅读(1395) 评论(0) 推荐(0) 编辑
windbg 内核模式调试用户进程
摘要:1:使用!process00获取用户空间的所有的进程的信息!process002:使用.process/p+你需要断的应用程序的EProcess地址,切换到应用程序的地址空间例如:.process/p0x80a02a603:重新加载userPDB文件.reload/f/user4:使用非侵入式的切换进程空间.process/i/p0x80a02a605:下应用层断点bpbu都可以 阅读全文
posted @ 2012-01-06 17:36 ahuo 阅读(1159) 评论(0) 推荐(0) 编辑
windbg .cmdtree
摘要:[CMD.txt]windbg ANSI Command Tree 1.0title {"Common Commands"}body{"Common Commands"}{"Information"}{"Time of dump"} {".time"}{"Process being debugged"} {"|"}{"Dump Location"} {"||"}{"Create server on port 阅读全文
posted @ 2011-10-09 16:05 ahuo 阅读(365) 评论(0) 推荐(0) 编辑
windbg for CLR
摘要:0:003> .load C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\sos.dll 0:003> !help ------------------------------------------------------------------------------- SOS is a debugger extension DLL designed to aid in the debugging of managed programs. Functions are listed by category, then roughly i 阅读全文
posted @ 2011-09-29 12:16 ahuo 阅读(482) 评论(0) 推荐(0) 编辑
IRQL
摘要:#define PASSIVE_LEVEL 0 // Passive release level#define LOW_LEVEL 0 // Lowest interrupt level#define APC_LEVEL 1 // APC interrupt level#define DISPATCH_LEVEL 2 // Dispatcher level#define CMCI_LEVEL 5 // CMCI handler level#define PROFILE_LEVEL 27 // timer used for profiling.#define CLOCK1_LEVEL 28 // 阅读全文
posted @ 2011-08-10 17:29 ahuo 阅读(513) 评论(0) 推荐(0) 编辑
WoW64子系统
摘要:转换库WoW64子系统是一个轻量级的compatibility layer, 在所有版本的windows上都拥有同样的接口. 它的主要目的是用来创建32-bit环境, 为了让32位的应用程序可以不经过任何修改就运行在64-bit的系统上, 它提供了必须的接口.技术上说, WOW64是由三个DLL实现的.Wow64.dll是Windows NT kernel的核心接口, 在32位和64位调用之间进行转换, 包括指针和调用栈的操控.Wow64win.dll 为32位应用程序提供合适的入口指针.Wow64cpu.dll负责将处理器在32位和64位的模式之间转换.注册表和文件系统 WOW子系统也会处理 阅读全文
posted @ 2011-07-21 16:01 ahuo 阅读(343) 评论(0) 推荐(0) 编辑
Remote Debugger Service vs2005
摘要:创建脚本debug.batcall C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /noauth /anyuser /silent创建服务sc create runsys binpath= "cmd /k start c:\debug.bat" type= own type= interact完成后机器不用登录都可以调试了 阅读全文
posted @ 2011-07-07 17:43 ahuo 阅读(287) 评论(0) 推荐(0) 编辑
windbg help
摘要:.dml_startkd> .dml_startAnalyze last eventBrowse process informationBrowse core commandsBrowse extension chainBrowse dot commandskd> .help /D a*A B C D E F G H I J K L M N O P Q R S T U V W X Y Z All. commands matching a*: .allow_bp_ba_convert [0|1] - Control bp/bm/bu breakpoints to use hardwa 阅读全文
posted @ 2011-04-15 13:56 ahuo 阅读(383) 评论(0) 推荐(0) 编辑
windbg 驱动对象命令
摘要:!devnode \DEVICE\{A4F74E3A-7A5D-4BFA-8B76-AC26F16DE201}Dumping IopRootDeviceNode (= 0x81ebdce0)DevNode 0x81ebdce0 for PDO 0x81ebde18 Parent 0000000000 Sibling 0000000000 Child 0x81ebd840 InstancePath is "HTREE\ROOT\0" State = DeviceNodeStarted (0x308) Previous State = DeviceNodeEnumerateCo 阅读全文
posted @ 2011-04-10 20:58 ahuo 阅读(889) 评论(2) 推荐(0) 编辑
windbg条件断点
摘要:条件断点(condition breakpoint)的是指在上面3种基本断点停下来后,执行一些自定义的判断。 在基本断点命令后加上自定义调试命令,可以让调试器在断点触发停下来后,执行调试器命令。每个命令之间用分号分割。语法格式如:0:000>bpAddress"j(Condition)'OptionalCommands';'gc'"0:000>bpAddress".if(Condition){OptionalCommands}.else{gc}"这两条是等价的.当然.if{}.else{}更好理 阅读全文
posted @ 2011-02-12 14:03 ahuo 阅读(846) 评论(0) 推荐(0) 编辑
windbg API 跟踪
摘要:!logexts.loge !logexts.logc e *!logexts.logo e v!logexts.logb p !logexts.loge    enables logging!logexts.logc e  displays all API categories!logexts.logo e v  debugger (d), a text file (t), or a verbo... 阅读全文
posted @ 2010-07-01 22:28 ahuo 阅读(886) 评论(0) 推荐(1) 编辑
softice + vmware +win2003
摘要:修改:winnetstandard.vmxvmmouse.present ="FALSE"svga.forceTraces = "TRUE"一定要启用硬件加速下载符号从windbug中找到文件dbghelp.dll,symsrv.dll替换相应文件 阅读全文
posted @ 2010-06-29 15:50 ahuo 阅读(417) 评论(1) 推荐(1) 编辑
symchk 获取符号文件(PDB)
摘要:获得c:\windows\system32下的所有文件的符号symchk /r c:\windows\system32 /s SRV*c:\symbols\*http://msdl.microsoft.com/download/symbols获得c:\windows\system32\secur32.dll 的符号symchk /r c:\windows\system32\secur32.dll ... 阅读全文
posted @ 2010-06-29 14:09 ahuo 阅读(1850) 评论(0) 推荐(0) 编辑
Windbg常用命令
摘要:.extpath 扩展模块搜索路径 .ecxr;kb !analyze -v~ - 列举出当前进程上下文中的所有线程~* - 列举出当前进程上下文中的所有线程的详细信息lm - 列举出所有加载的模块!sym noice/quiet - 代码提示开关.srcpath -设置源码路径k - 显示当前堆栈 阅读全文
posted @ 2010-05-19 11:44 ahuo 阅读(8786) 评论(4) 推荐(1) 编辑
windbg远程调试
摘要:后台服务方式:被调试端dbgsrv.exe -t tcp:port=1234,password=abcc调试端windbg.exe -premote tcp:server=192.168.0.43,port=1234,password=abcc远程控制方式:被调试端先开启windbg,运行命令.server tcp:port=2345调试端windbg.exe -remote tcp:server=192.168.0.43,port=2345界面操作是: 阅读全文
posted @ 2009-05-19 17:47 ahuo 阅读(1729) 评论(2) 推荐(0) 编辑
符号(pdb)
摘要:C:\Program Files\Debugging Tools for Windows (x86)>symchk /r c:\windows\system32\kernel32.dll /s SRV*i:\sym\*http://msdl.microsoft.com/download/symbolssymchk /r c:\windows\system32 /s SRV*c:\symbol... 阅读全文
posted @ 2009-05-06 10:31 ahuo 阅读(555) 评论(0) 推荐(0) 编辑
windbg 启动参数,常用命令
摘要:windbg[-serverServerOptions|-remoteClientOptions][-premoteSmartClientOptions][-?][-ee{masm|c++}][-clineslines][-b][-d][-aExtension][-eEvent][-failinc][-g][-G][-hd][-j][-n][-noshell][-o][-Q|-QY][-QS|-Q... 阅读全文
posted @ 2008-06-11 09:35 ahuo 阅读(1960) 评论(0) 推荐(0) 编辑

1
点击右上角即可分享
微信分享提示