摘要:
经过测试 9dea862c-5cdd-4e70-acc1-f32b644d4795 这个项每个系统都是固定的。这个项里面的 Elements 里面项也是固定的。在 24000001 项里的 Element 值可以看出来 他的注册表项值是{2d082d49-2775-11e4-9bca-cd1b321 阅读全文
摘要:
查看堆栈 从返回前面的竖线 到 竖线结束 也就是到 (从返回 msconfig.0065a318) 全看。这样不会丢失些东西 或者 看堆栈 直接将堆栈框拉大 避免有些东西没有看到 阅读全文
摘要:
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 [plain] view plain? 输出结果中我可以看到几个重要的字段: 阅读全文
摘要:
Windbg的设置 Windbg的设置 Windbg本身可以直接从微软的网站上下载下载地址:http://www.microsoft.com/whdc/devtools/debugging/default.mspxWindbg的设置其实主要是关于调试符号的设置,没有符号你会很不爽,会忽视掉许多细节, 阅读全文
摘要:
预计平均三天一课,录制过程中,大纲会实时更新(更改) 主讲:郁金香灬老师 QQ150330575 开发环境:VC6,VS2003,VS2008 www.yjxsoft.net www.yjxsoft.com 教程购买地址:http://yjxsoft.taobao.com 1.3.5VM+windb 阅读全文
摘要:
WinDbg WinDbg支持以下三种类型的命令: · 常规命令,用来调试进程 · 点命令,用来控制调试器 · 扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令 PDB文件 PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全 阅读全文
摘要:
_EPROCESS结构简单了解! lkd> dt _EPROCESSnt!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 Exi 阅读全文