随笔分类 -  调试相关

上一页 1 2
DLL相关下断点
摘要:加载DLL 的时候断: sxe ld:[dll] 卸载DLL 的时候断: sxe ud:[dll] 比如: sxe ld:wininet.dll (在wininet.dll 被装载的时候断点) 这里DLL名字是支持通配符的 比如: sxe ld:wini*.dll 或者直接在DllMain下断: b 阅读全文
posted @ 2017-02-14 13:17 穷到底 阅读(328) 评论(0) 推荐(0) 编辑
转——调试寄存器 原理与使用:DR0-DR7
摘要:下面介绍的知识性信息来自intel IA-32手册(可以在intel的开发手册或者官方网站查到),提示和补充来自学习调试器实现时的总结。 希望能给你带去有用的信息。(DRx对应任意的一个调试寄存器。LENn对应任意一个长度。Ln对应任意一个局部置位)DR0-DR7可以直接被读写操作(MOV 指令之类 阅读全文
posted @ 2017-02-13 10:40 穷到底 阅读(4774) 评论(0) 推荐(0) 编辑
一个很SB的方法,来开始调一个刚启动就SB的程序
摘要:自己鼓捣的方法,累死我了。。。 遇到一个程序,这程序启动之后,会自动重新启动我的电脑, 我想调试它一下,但是遇到了问题, 如果我用调试器附加上去的话,电脑是不重起了,但是它启动了之后会立刻黑屏,全黑, 根据分析,实际上是有个全黑的窗口占到了最前,后面的窗口都不能显示出来, 然后这个黑色的窗口卡死,并 阅读全文
posted @ 2017-01-03 11:21 穷到底 阅读(241) 评论(0) 推荐(0) 编辑
WinDbg神断点
摘要:https://blogs.msdn.microsoft.com/alejacma/2007/10/31/cryptoapi-tracer-script/ 我得多少年才能学会这种写法。 实际上也没用多少年。 ********************************************** 阅读全文
posted @ 2016-11-30 21:35 穷到底 阅读(147) 评论(0) 推荐(0) 编辑
摘要:正常情况下 ebp + 8 第一个参数 ebp + 4 返回地址 ebp 旧ebp地址 ebp - N 局部变量 OK,没了 加的都是参数,减的都是变量, 不想写太多,够用就行,关键时刻,能解决很多问题,节省很多时间。 阅读全文
posted @ 2016-11-11 09:32 穷到底 阅读(203) 评论(0) 推荐(0) 编辑
verifier 调试内存泄露
摘要:没啥技术含量,都是老段子了, 这次记下来,只是我想说,我也做过,留个念相。 前置条件,电脑里面必须得有Verifier,有了之后把自己的驱动加进去, WinDBG上双机,然后就可以跑了,跑一段时间就可以停了, (这时候可以说一下,其实中间可以多次断下来,然后用 !poolused 命令对应TAG,来 阅读全文
posted @ 2016-10-17 12:33 穷到底 阅读(1351) 评论(0) 推荐(0) 编辑
人要是倒霉,电脑都蓝屏
摘要:今天,笔记本又蓝屏了,dump嗷嗷奇怪, Win10 x64的系统,用WinDbg10加载dmp 之后,竟然无法正确下载符号。 擦,这要我怎么办,手动下载符号? 好吧,手动下载符号之后, .reload 之后, !analyze -v 结果就给我这些破玩艺。。。 IRQL_NOT_LESS_OR_E 阅读全文
posted @ 2016-10-12 15:51 穷到底 阅读(546) 评论(0) 推荐(0) 编辑
难道是“写时拷贝”?
摘要:前言: 1 #if 0 2 3 其实,现在我要做的这件事情,是有个前提的, 4 有一天晚上,我和一个朋友讨论一个相关技术的问题, 5 (因为我也不是很懂,我不确定我的观点是正确的,所以才是讨论), 6 我们聊到了,Windows的映射机制, 7 我们模拟的场景是这样的: 8 (简单场景,x86环境下 阅读全文
posted @ 2016-09-18 18:59 穷到底 阅读(479) 评论(0) 推荐(0) 编辑
从虚拟地址,到物理地址(开PAE)
摘要:学了好久好久,但是好久好久都没有用过,今天突然要用,都快忘了怎么玩了, 这里记录一下吧。 如何检测PAE r cr4 第5位如果是1,则开了PAE,否则没开 切入目标进程 查找一个自己关注的字符串s -u (start) L(len) ""得到地址 得到地址kd> db 01014dd401014d 阅读全文
posted @ 2016-09-18 16:52 穷到底 阅读(225) 评论(0) 推荐(0) 编辑
下载指定符号
摘要:1. 下载dmp文件所有相关模块的symbols,缓存到共享路径,便于其它人快速下载。"D:\Debuggers.10\x86\symchk.exe" /id c:\MyApplication.dmp /s SRV*\\symbols_server\WinSymbols\*http://msdl.m 阅读全文
posted @ 2016-09-06 02:16 穷到底 阅读(377) 评论(0) 推荐(0) 编辑
TIB、TEB 信息
摘要:https://en.wikipedia.org/wiki/Win32_Thread_Information_Block 这是重点 herein: FS:[0x124] 4 NT Pointer to KTHREAD (ETHREAD) structure 阅读全文
posted @ 2016-08-31 18:00 穷到底 阅读(831) 评论(0) 推荐(0) 编辑
一句reload,解决了千古难题
摘要:.reload D:\111\222.dll=Base,DllLen 阅读全文
posted @ 2016-07-19 12:16 穷到底 阅读(167) 评论(0) 推荐(0) 编辑
一个很笨的方法,写脚本来实现自动调dmp,找有用的数据
摘要:很久很久以前用到的方法, 方法挺笨的,但是算是比较实用吧。 全自动的调试dmp,最后只要结果。 谁用得着就给谁看吧。 这里需要两个脚本1:启动脚本,是一个批处理文件,用来启动调试器,来加载dmp和调试脚本。2:调试脚本,是一个windbg脚本文件,用来操作调试器,是真正工作的脚本。现在开始说明脚本内 阅读全文
posted @ 2016-07-06 12:48 穷到底 阅读(459) 评论(0) 推荐(0) 编辑
内核5步下应用层断点
摘要:1:使用 !process 0 0 察看所有 EPROCESS2:使用.process /p + 需要断的应用程序的EProcess地址,切换到应用程序的地址空间 例如:.process /p 0x80a02a603:重新加载user PDB文件 .reload /f /user4:使用非侵入式的切 阅读全文
posted @ 2014-11-25 01:00 穷到底 阅读(176) 评论(0) 推荐(0) 编辑

上一页 1 2
点击右上角即可分享
微信分享提示