摘要:
标 题: 简单解释Windows如何使用FS段寄存器 作 者: rhettxie 时 间: 2012-12-17,13:32:09 链 接: http://bbs.pediy.com/showthread.php?t=159935 昨天有人问我,为什么进程,线程的很多关键信息可以简单的通过FS寄存器 阅读全文
摘要:
运行 regedit.exeHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ImagePath \??\G:\驱动教程\018_读出SSDT表当前函数地址\mini_ddk\sys\i386\DDKHelloWorld.sys"Display 阅读全文
摘要:
http://124.16.151.186/docs/optimization/VTune(TM) User's Guide/mergedProjects/analyzer_ec/mergedProjects/reference_olh/instruct32_hh/vc267.htm 说明 将通用寄 阅读全文
摘要:
注:不要HOOK 函数里可能会被跳转的地址, 不要HOOK 字节中包含函数调用的地址 如 HOOK的地址里有 CALL EDX 等 x86 JMP计算公式 目标地址-当前地址-5 = 机器码E9后面所跟的32位数 JE计算公式 目标地址-当前地址-6 = 机器码0F 84后面所跟的32位数 JNE计 阅读全文
摘要:
经过测试 9dea862c-5cdd-4e70-acc1-f32b644d4795 这个项每个系统都是固定的。这个项里面的 Elements 里面项也是固定的。在 24000001 项里的 Element 值可以看出来 他的注册表项值是{2d082d49-2775-11e4-9bca-cd1b321 阅读全文
摘要:
查看堆栈 从返回前面的竖线 到 竖线结束 也就是到 (从返回 msconfig.0065a318) 全看。这样不会丢失些东西 或者 看堆栈 直接将堆栈框拉大 避免有些东西没有看到 阅读全文
摘要:
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 [plain] view plain? 输出结果中我可以看到几个重要的字段: 阅读全文
摘要:
Windbg的设置 Windbg的设置 Windbg本身可以直接从微软的网站上下载下载地址:http://www.microsoft.com/whdc/devtools/debugging/default.mspxWindbg的设置其实主要是关于调试符号的设置,没有符号你会很不爽,会忽视掉许多细节, 阅读全文
摘要:
预计平均三天一课,录制过程中,大纲会实时更新(更改) 主讲:郁金香灬老师 QQ150330575 开发环境:VC6,VS2003,VS2008 www.yjxsoft.net www.yjxsoft.com 教程购买地址:http://yjxsoft.taobao.com 1.3.5VM+windb 阅读全文
摘要:
WinDbg WinDbg支持以下三种类型的命令: · 常规命令,用来调试进程 · 点命令,用来控制调试器 · 扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令 PDB文件 PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全 阅读全文