WIndbg

windows汇编

Create/Assemble/Linkx64Windowsasmexe,DebuggingToolsforWindows(WinDbg),stackshadowstore.照例边看边记录边实验。

张某人的胡思乱想·2025-06-20 06:36

入门逆向-入土为安的第二十五天

调试工具：如GDB,x64dbg,WinDbg

丸卜·2025-06-07 20:47

【原创】NTFS文件系统底层挖掘

t=87741貌似关于NTFS文件系统的底层实现细节,网上资料很少.这几天突然来了兴趣,于是挖掘了一下.结合nt4src,IDA+ntfs.sys,windbg+VMWare,在XPSP2下,深入理解了一些

cosmoslife·2025-05-30 08:32

聊一聊 .NET Dump 中的 Linux信号机制

一：背景1.讲故事当.NET程序在Linux上崩溃时，我们可以配置一些参考拿到对应程序的core文件，拿到core文件后用windbg打开，往往会看到这样的一句信息SignalSIGABRTcodeSI_USER

一线码农·2025-05-28 13:49

排查C++软件异常的常见思路与方法（实战经验总结）

目录1、概述2、软件异常的分类与排查3、常用的C++异常排查思路与方法3.1、IDE调试3.1.1、Debug和Release下的调试3.1.2、VS附加到进程调试3.1.3、Windbg附加到进程调试

dvlinker·2025-04-08 18:28

使用Windbg分析dump文件定位软件异常的方法与操作步骤

目录1、Windbg简介2、Windbg版本与安装3、Windbg常用命令4、静态分析dump文件的一般步骤4.1、查看异常类型4.2、使用.ecxr命令切换到发生异常的线程上下文，查看发生异常的那条汇编指令

dvlinker·2025-03-18 21:02

通过查看Windbg中变量的值，快速定位因内存不足引发bad alloc异常（C++ EH exception - code e06d7363）导致程序崩溃的问题

目录1、概述2、C++EHexception-codee06d7363与标准C++异常2.1、C++EHexception-codee06d7363说明2.2、C++标准库与C++异常2.2.1、C++抛出异常与捕获异常2.2.2、C++异常类3、查看函数调用堆栈，发现抛出了badalloc内存分配失败的异常4、在调用堆栈中看到CreateBmp创建位图的接口，怀疑可能是使用了异常大的宽高值，导致

dvlinker·2025-03-18 21:02

C/C++程序员为什么要了解汇编？了解汇编有哪些好处？如何学习汇编？

2.2、从汇编代码的角度去理解多线程的执行细节，去理解多线程在访问共享资源时为什么要加锁2.3、使用Windbg静态分析dump时先从崩溃的那条汇编指令中得到初步的线索3、了解汇编有哪些具体的好处？

dvlinker·2025-03-02 00:20

VMware安装Kali(虚拟机压缩包)&设置Windbg调试符号

下载完成后会得到一个.7z的压缩包：kali-linux-2024.2-vmware-amd64.7z，需要对其进行解压自己找个地方创建一个文件夹（虚拟机目录），将kali-linux-2024.2-vmware-amd64.vmwarevm整个文件夹放进去打开VMware虚拟机：文件->打开，找到kali-linux-2024.2-vmware-amd64.vmwarevm文件夹，选择的文件是.

wave_sky·2025-02-27 14:57

如何让C++程序自动生成dump文件？以及如何分析dump文件？

SetUnhandledExceptionFilter介绍2、调用SetUnhandledExceptionFilter设置异常处理函数3、调用MiniDumpWriteDump函数导出包含异常上下文的dump文件4、dump文件的多种生成方式5、使用Windbg

dvlinker·2025-02-19 20:46

C/C++运行时库和UCRT系统通用运行时库总结及问题实例分享（程序打包时要带上这些运行时库）

目录1、概述2、不同版本的VisualStudio对应的运行时库说明3、在Windbg10.0安装目录中获取UCRT通用运行时库4、微软官网对UCRT通用运行时库的相关说明5、使用VisualStudio2017

dvlinker·2025-01-27 18:11

在MacOS上怎样远程调试PC的内核驱动程序

1.远程调试Windows内核驱动程序（从macOS）由于Windows内核调试工具（如WinDbg）不直接支持macOS，

捕鲸叉·2025-01-17 06:31

C++开发值得推荐的十大高效软件分析工具

DependencyWalker2.3、剪切板查看工具Clipbrd2.4、GDI对象查看工具GDIView2.5、ProcessExplorer2.6、PrcoessMonitor2.7、APIMonitor2.8、调试器Windbg2.9

dvlinker·2024-08-30 11:01

使用Windbg调试目标程序去分析异常的两实战案例分享

目录1、前言2、案例1：程序退出时弹出报错提示框2.1、问题说明2.2、到系统应用程序日志中看系统有没有自动生成dump文件2.3、将Windbg附加到目标程序上进行动态调试3、案例2：程序在运行过程中弹出

dvlinker·2024-08-26 22:16

用windbg调试uefi在hyper-v

添加环境变量CLANG_BIN=C:\ProgramFiles\NASM\NASM_PREFIX=C:\ProgramFiles\NASM\添加pathC:\ProgramFiles(x86)\WindowsKits\10\Tools\x64\ACPIVerify修改edk2-master\Conf\target.txtTARGET_ARCH=X64编译这两个包#ACTIVE_PLATFORM=E

王cb·2024-02-20 14:05

隔壁工程师都馋哭了我的逆向工程IDA，说要给我搓背捏脚

逆向工程IDA主要内容涉及到的内容如下：1、内核对象及内核对象管理；2、进程回调；3、内核调试；4、Windbg双击调试；引言1进程回调原理分析1.1安装与卸载逆向分析1.2OS执行回调例程分析1.3触发调用的调用链分析

kali_Ma·2024-02-20 11:08

关于Win7 x64下过TP保护(内核层)（转）

调试对象：DXF调试工具：OD、Windbg调试环境：Win7SP1X64内核层部分：x64下因为有PatchGuard的限制，很多保护都被巨硬给抹掉了。

小手冰凉__·2024-02-09 23:12

XP上的ReadProcessMemorry读取其他线程导致崩溃

http://voneinem-windbg.blogspot.com/2008/02/shooting-pageguard-flag-with.html转自这篇链接XP上存在BUG，当一个线程ReadProcessMemory

nLif·2024-02-09 17:49

VC++ 崩溃处理以及打印调用堆栈

我们在程序发布后总会面临崩溃的情况，这个时候一般很难重现或者很难定位到程序崩溃的位置，之前有方法在程序崩溃的时候记录dump文件然后通过windbg来分析。

一叶障目·2024-02-06 07:03

使用Process Explorer/Process Hacker和Windbg高效排查软件高CPU占用问题

目录1、为什么需要将ProcessExplorer/ProcessHacker与Windbg结合起来分析高CPU占用问题？

dvlinker·2024-02-02 15:01

Windows内核面试题（持续更新，目前完成度30%约1.8万字）

WINDOWS内核编程问题与答案1.WDK和SDK的区别是什么2.WDK全称叫做3.如何创建WDK程序4.WinDbg如何连接虚拟机5.Windows内核符号表的作用6.如何设置内核符号表与源文件7.如何设置断点与源码调试

虚构之人·2024-02-02 11:33

用 WinDbg 诊断CPU占用高

下载WinDbg,http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx我是win10,下载了这个：http://download.microsoft.com

__lhy·2024-01-31 23:19

Windows驱动开发之环境搭建，长期Waiting for connecting...思路

Windows驱动开发之环境搭建1、前期准备Vmware虚拟机软件Windows10iso安装包VisualStudio2022IDE软件SDK安装（一定要勾选上debug选项，windbg在里面）WDK

port9527·2024-01-31 01:40

Win7 禁止Ctrl+Alt+Del、Win+L等任意系统热键（利用IDA，windbg等工具分析）

标题:【原创】Win7修改Winlogon.exe进程一个字节禁止Ctrl+Alt+Del、Win+L等任意系统热键作者:heiheiabcd时间:2012-12-01,10:08:55链接:http://bbs.pediy.com/showthread.php?t=159346由于想做个屏幕锁程序，因此想研究了下Win7的Ctrl+Alt+Del，我对win7的安全机制一点都不懂，希望有不对的地

zhoujiaxq·2024-01-29 10:56

记一次 .NET某工控自动化系统崩溃分析

二：WinDbg分析1.为什么会崩溃要想找到崩溃原因，还是用老命令!analyze-

一线码农·2024-01-26 15:40

WinDbg常用指令

1.r：显示寄存器的信息也可用来更改寄存器信息2.a:使用汇编的格式在内存中写入一条机器指令。3.p/t指令：执行内存单元中的指令。p命令执行单个指令或源代码行，并可选地显示所有寄存器和标志的结果值。当子例程调用或中断发生时，它们被视为单个步骤。用户模式：1[~Thread]p[r][=StartAddress][Count]["Command"]内核模式:1p[r][=StartAddress]

next 猫·2024-01-26 07:10

Windbg内核调试之二: 常用命令

运用Windbg进行内核调试,熟练的运用命令行是必不可少的技能.但是面对众多繁琐的命令,实在是不可能全部的了解和掌握.而了解Kernel正是需要这些命令的指引,不断深入理解其基本的内容.下面,将介绍最常用的一些指令

weixin_33881140·2024-01-26 07:39

Windbg 常用命令

博主分析案例：GitHub-ctripxchuang/dotnetfly:关注windbg在.NET领域下的探究，带你一起解读程序的用户态和内核态！1.!analyze-v有些命令需要先执行这个2.!

垂钓者1号·2024-01-26 07:35

Windbg常用命令备忘

Windbg常用命令备忘windbg是一款微软推出的专业实用的源码调试工具软件1、符号表下载方法：使用命令下载对应的符号表symchk/rc:\windows\system32\k*/sSRV*c:\symbols

buuaKa·2024-01-26 07:03

windbg 常用调试命令总结

引用：windows码农屠龙手册参考官方文档：使用WinDbg进行调试-Windowsdrivers|MicrosoftDocs寄存器含义：寄存器含义windbg下载地址：x64：http://download.microsoft.com

就是那个党伟·2024-01-26 07:32

WinDbg常用命令

!analyze–v自动分析kv查看堆栈!pe打印异常!runaway显示所有线程的CPU消耗!handlee00f显示句柄详细详细!cs00bcd034临界对象!teb查看TEB的结构bp下断点，还有条件断点!address显示整个地址空间和使用摘要的信息dd按字节查看dt查看结构

秋雨雁南飞·2024-01-26 07:01

WinDbg 常用指令与快捷键

指令说明应用uUnassembleu:显示下一条指令uaddress:显示地址之后的指令uL10:显示10条指令ub:显示上一条指令tTrace(F11)SetpIntopPass(F10)SetpOverggo(Run)g:运行gaddress:运行到地址处dDumpdaddress:显示地址内容dbaddress:byteddaddress:dworddqaddress:qwordrregis

PeiFengTuNan_·2024-01-26 07:29

windbg：常用指令

windbg调试参考文档1、viewing-and-editing-global-variables-in-windbgWinDBG常用调试命令加载符号.sympath//查看当前符号查找路径.sympathc

键盘会跳舞·2024-01-26 07:28

教你配置windows上的windbg,linux上的lldb，打入clr内部这一篇就够了

一：背景1.讲故事前几天公众号里有位兄弟看了几篇文章之后，也准备用windbg试试看，结果这一配就花了好几天，(づ╥﹏╥)づ，我想也有很多跃跃欲试的朋友在配置的时候肯定会遇到这样和那样的问题，所以我觉得有必要整理一下

一线码农上海·2024-01-25 02:54

.NET MES桌面程序卡死分析

二：WinDbg分析1.什么导致的卡死客户端的程序卡死比较好找原因，入手点就是主线程，看下它此时正在做什么，可以用k命令。

softshow1026·2024-01-22 06:41

记一次 .NET某MES自动化桌面程序卡死分析

二：WinDbg分析1.什么导致的卡死客户端的程序卡死比较好找原因，入手点就是主线程，看下它此时正在做什么，可以用k命令。

一线码农·2024-01-19 08:17

记一次 .NET某道闸收费系统内存溢出分析

二：WinDbg分析1.程序为什么会暴程序既然会爆，可能是虚拟地址受限，也可能是系统内存不足，可以用!address-summary观察下。0:037>!

一线码农·2024-01-19 08:42

Windows高级调试(学习笔记)-第二章-调试器介绍

调试器类型UserModeDeduggers(用户态调试器)实时调试(LivingDebugging)、事后调试(PostmortemDebugging)三个用户态调试器:cdb.exe、nstd.exe及windbg.exeKernelModeDebugger

图南堂·2024-01-18 18:56

winDbg符号路径设置

在使用winDbg前,我们首先要设置下符号路径.设置方法如下:1、打开符号路径设置窗口：File-->SymbolFilePath或者直接用快接键Ctrl+S.2、winDbg是支持多个路径的，不同的路径中间用分号间隔

snakehacker·2024-01-18 00:37

Windbg_13-Windbg中的搜索

命令搜索内存在进程的虚拟内存空间中找到想要的数据符号搜索不记得符号全名的情况下使用符号搜索找到符号搜索符号引用搜索符号引用的意思是：找到使用符号（函数或者地址，变量）的地方1.1：s命令搜索内存内存搜索是调试器中的常见操作，在windbg

0rch1d·2024-01-16 00:45

Windbg_10-查看堆栈

一个线程拥有一个独立的栈，线程执行函数，为每个函数开辟栈帧，函数退出则关闭该函数的栈帧，回收栈空间，栈结构可以让调试器回溯出函数的调用关系，栈的结构如下：1.2：windbg中的堆栈命令：简单介绍常用三个

0rch1d·2024-01-16 00:15

Windbg_11-Windbg反汇编命令

1.内容概要：反汇编命令概览：反汇编命令的使用：1.1：windbg中，反汇编系列的命令以u开头：u命令或者ub命令默认只会反汇编出8条指令，加入查看更多可以使用以下方式：uAddress|countAddress

0rch1d·2024-01-16 00:45

使用 Process Explorer 和 Windbg 排查软件线程堵塞案例分享

目录1、问题说明2、线程堵塞的可能原因分析3、使用Windbg和ProcessExplorer确定线程中发生了死循环

dvlinker·2024-01-14 12:19

使用 Windbg 分析软件异常时的诸多细节与技巧总结

3、使用Windbg静态分析dump文件以及动态调试程序的一般步骤4、确定发生异常或崩溃的业务模块，到业务模块的函数中去排查5、在分析从任务管理器中导出的dump文件时可能需要使用.effmach命令切换一

dvlinker·2024-01-14 12:44

WinDbg 下载(Win7/Win10)

Windbgforwindows7-downloadx86:http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D

图南堂·2024-01-12 12:01

.NET某软件非托管泄露分析

二：WinDbg分析1.到底是哪里的泄露相信一直追这个系统的朋友应该知道怎么判断，很简单,看下MEM_COMMIT和HEAP指标即可，使用!add

softshow1026·2024-01-12 02:44

使用 Process Explorer 和 Windbg 排查软件线程堵塞问题

目录1、问题说明2、线程堵塞的可能原因分析3、使用Windbg和ProcessExplorer确定线程中发生了死循环4、根据Windbg中显示的函数调用堆栈去查看源码，找到问题4.1、在Windbg定位发生死循环的函数的方法

dvlinker·2024-01-11 02:20

使用Windbg静态分析dump文件的一般步骤详解

、使用.ecxr命令切换到发生异常的线程上下文，查看发生异常的那条汇编指令2.3、使用kn/kv/kp命令查看异常发生时的函数调用堆栈2.4、使用lm命令查看模块的时间戳，找到对应的pdb文件，设置到Windbg

dvlinker·2024-01-10 13:08

使用Windbg动态调试目标进程的一般步骤详解

目录1、概述2、将Windbg附加到已经启动起来的目标进程上，或者用Windbg启动目标程序2.1、将Windbg附加到已经启动起来的目标进程上2.2、用Windbg启动目标程序2.3、Windbg关联到目标进程上会中断下来