WinDBG

使用Windbg分析Windows程序崩溃

以下步骤适用与分析独立运行后产生dump文件的程序或者使用Windbg监视运行的程序崩溃。
浪小满·2020-09-14 04:57

windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt

windbg中查看shadowssdt:0:kd>lmstartendmodulename804d8000806e3000nt(pdbsymbols)I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51
a65783305·2020-09-14 03:12

第一次碰到VMProtect

windbg打开,因为默认不是停在程序的入口,故一打开直接报凭着自己已往的经验,找到程序的入口点,直接修改入口的两个字节(INT3),程序爆出异常,再选择调试,却还是静静地退出了。
AZFU0BN·2020-09-14 02:23

初次尝试使用Windbg调试Sql Server 进程

最近看了吕海波大牛的书,和相关资料;决定尝试一下使用Windbg调试SqlServer进程;当然是入门级的;看了吕海波老师的书终于明白一个道理,原来数据库系统的内核(内存)中,就是各种链表;大牛的相关链接在
bcbobo21cn·2020-09-14 01:45

深入浅出 First chance, second chance和ExceptionPort

可以使用windbg做个实验,加深对上述概念
招RD和QA·2020-09-13 20:37

windows 应用程序崩溃时的内存转储及dump文件的分析

Debugger设置具体的调试器和启动参数Auto是否设置在发送错误前启动调试器以windbg为例Debugger="Path/WinDbg.e
sp_daiyq·2020-09-13 15:12

the CDB process terminated

1)安装windbgd32位,64位的安装2)qt版本的设置3)Kit页面的设置3这个时候再调试程序的时候,还是出现theCDBprocessterminated。这个时候,需要去构
lulu-lu·2020-09-13 12:38

脚本的力量

这两天处理完了IIS配置的问题之后,又需要处理COM+的配置问题,不过与IIS与使用windbg来dump出IIS的内存不一样,对于COM+的配置使用可没有现成的VBS可以拿来使用。
leeseon·2020-09-13 01:21

asprotect脱壳经验谈

在这时本人喜悦不胜言表,就等着开始自己的探索之旅,突然我windbg弹出来
joeleechj·2020-09-13 01:26

Qemu调试Windows

原文地址:http://blog.csdn.net/ariesjzj/article/details/8698439Kernel级的Windows调试,Windbg+Virtualbox(Vmware)
ariesjzj·2020-09-13 01:39

分页机制

一:启动一个计算器程序calc.exe,输入一个字符串123456789二:启动WinDBG,并附加到计算器程序上开始调试(选择File>Attachtoaprocess…..)三:在WinDBG的命令区输入
AnyStayIsJk·2020-09-13 01:35

VS2015生成工具安装

文章目录1VS2015生成工具安装1下载文件2问题一3安装运行组件4安装开发工具5问题二2安装用于程序调试的WinDbg调试器1VS2015生成工具安装1下载文件进入https://visualstudio.microsoft.com
Churkina_洛·2020-09-12 23:38

Windbg使用简明指南

第一章准备1.1.环境配置_NT_DEBUGGER_EXTENSION_PATH=C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727_NT_SYMBOL_PATH=SRV*c:\Symbols*http://msdl.microsoft.com/download/symbolsPathadd:C:\WINDOWS\Microsoft.NET\Framewor
weixin_30591551·2020-09-12 17:18

WinDbg的基本用法

1、2、通过winDbg创建dump文件及分析dump文件生成的dump文件1、WinDbg生成的dump文件命令行(1).dumpOptionsFilename2、默认生成精简的内容的MiniDumps
woshizfs·2020-09-12 09:08

How to use windbg to detect memory leak

DetectingmemoryleakswithWinDBGthemodern(andfree)wayhttp://cfc.kizzx2.com/index.php/detecting-memory-leaks-with-windbg-the-modern-and-free-way
thebigbird·2020-09-12 09:02

WinDBG快速定位异常位置

WinDBG中通过搜索内存中保存的CONTEXT结构来定位发生的异常信息,再通过WinDBG命令.cxr显示对应的调用堆栈信息。.foreach(place{s-[1]d0L?
weixin_34049948·2020-09-12 03:38

windbg根据堆内存地址查找分配内存的代码位置

a=newchar[1000];return0;}2.命令行窗口输入:gflags-itest.exe+ust这步操作的意义在于为这个test.exe程序单独建立堆栈数据库,便于后面调试的分析3.打开windbg
omage·2020-09-12 03:19

WinDBG 设置条件断点

Conditionalbreakpointscanbeveryusefulwhenyouaretryingtofindbugsinyourcode.Theycauseabreaktooccuronlyifaspecificconditionissatisfied.当你在尝试找到你代码中的bug时,条件断点非常有用。当某个特殊条件满足时它才引起断点发生Aconditionalbreakpointis
Yuri800·2020-09-12 02:41

用VS2005(其他版本也可以)调试dump文件

虽然windbg也可以调试,但是如果用VS调试dump文件会更方便,毕竟它有强大的反汇编查看、变量、堆栈、内存查看等非常好用的功能。
zouyongjin·2020-09-11 20:57

为什么DebugPort清零,windbg就收不到这个进程的调试信息了。转的。

if(FirstChance){/*Makesureadebuggerispresent,andignoreuser-modeifrequested*/if((KiDebugRoutine)&&(!(PsGetCurrentProcess()->DebugPort))){/*Callthedebugger*/if(KiDebugRoutine(TrapFrame,ExceptionFrame,Ex
yishenbiao·2020-09-11 18:34

dump

这种文件必须用专用工具软件打开,比如使用WinDbg打开。Dump文件能够保存程序内部的内存、堆栈、句柄、线程等程序运行相关的信息,非常具有重要性
yannanfei1993·2020-09-11 17:13

黑客是怎样炼成的 黑客常用工具及软件

3IDApro:静态反汇编软件,最好的反汇编软件,不过对动态调试的支持很有限4WinDbg:ring0下的调试软件,微软出
iiihacker·2020-09-11 16:21

14.windbg-k、u、x(堆栈查看、汇编查看、函数查找)

kk*命令显示给定线程的调用堆栈,以及其他相关信息~0k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈0:002>~0kChildEBPRetAddr0007fddc77d191bentdll!KiFastSystemCallRet0007fdfc010021b0USER32!NtUserGetMessage+0xc0007ff1c010125e9calc!WinMain+0x25
花熊·2020-09-11 14:11

让Visual Studio载入Symbol(pdb)文件

pdb文件中包含了各个函数的符号表,也是进行WinDbg调试必不可少的文件。既然pdb文件是给调试器使用的,那么Visu
xt_xiaotian·2020-09-11 06:28

WINDBG错误提示及处理

今天初次使用WINDBG,遇到了两个问题,最后解决了。
lopper·2020-09-11 02:09

Windbg实用手册(转)

Windbg实用手册Windbg工作中用的不多,所以命令老是记不住,每次使用都要重新查命令,挺烦。趁这次培训的机会好好测试和总结了一下,下次再用就方便多了。在这里一起共享一下,如果有错误,请指正。
blacet·2020-09-11 00:49

WinDbg 揪出驱动卸载而没有释放的内存

标题:【原创】揪出驱动卸载而没有释放的内存作者:correy时间:2013-07-13,11:33:14链接:http://bbs.pediy.com/showthread.php?t=175394因为以前在工程中解决过,在实际中经常发生,所以有此文,以备终结和以后使用.先来一个示例的工程,代码如下:#include#defineTAG'tset'//本驱动在内存中的标志,即test.DRIVER
FrankieWang008·2020-09-10 23:40

如何利用WinDbg找出程序崩溃的位置

如果光要是这个内存地址,估计你会疯掉~~所以分享一下基本的调试技巧,需要准备的工具有WinDbg+VC6.0,下面是自己整理的一份自动生成DUMP文件的源代码,只需要添加到工程即可,源代码如下:MiniDump.hviewplainprint
yuanweihuayan·2020-09-10 21:18

windbg调试学习笔记(二)

3进程与线程既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。3.1进程命令进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。进程列表多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。竖线命令显示当前被调试进程列表的状态信息,这个命令在本
金士顿·2020-09-10 21:11

调试技巧 —— 如何利用windbg + dump + map分析程序异常 .

如果光要是这个内存地址,估计你会疯掉~~所以分享一下基本的调试技巧,需要准备的工具有WinDbg+VC6.0,下面是自己整理的一份自动生成DUMP文件的源代码,只需要添加到工程即可,源代码如下:MiniDump.hviewplaincopytoclipboardprint
Tianyu-liu·2020-09-10 21:25

Windbg命令学习11(.dump)

程序崩溃(crash)的时候,为了以后能够调试分析问题,可以使用WinDBG要把当时程序内存空间数据都保存下来,生成的文件称为dump文件。
weixin_30646315·2020-09-10 19:06

WinDbg分析dump文件介绍

WinDbg分析dump文件介绍1、WinDbg介绍WinDbg是微软开发的免费源代码级的调试工具。WinDbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。
wb15810961743·2020-09-10 18:50

内核级进程遍历

使用windbg可以看到eprocess的结构体,现摘录重要结构如下:lkd>dt_eprocess-r1nt!_EPROCESS...+0x084UniqueProcessI
BugMeOut·2020-09-10 18:30

WinDbg调试dmp(查找问题的异常堆栈时出现的 UnhandledExceptionFilter 调用堆栈跟踪中和其他技巧)

1.使用windbg打开dump文件,同时设置symbols。
白雲綠水·2020-09-10 18:19

windbg分析dump操作流程

1、加载pdb:.reload/i/f2、查看pdb是否加载成功:lm3、自动分析指令(通常分析出的是主线程的堆栈)!analyze-v此时通过分析出的堆栈去找有无kernel32!UnhandledExceptionFilter信息如果有,则此堆栈(主线程堆栈)为异常堆栈;如果没有,则需查看所有线程堆栈:4、查看所有线程堆栈:~*kb同理去找有无kernel32!UnhandledExcepti
fzzjoy·2020-09-10 18:27

Windows内核基础之进程

WinDbg中使用指令dt_EPROCESS可以查看进程结构体的所有成员。nt!
tutucoo·2020-09-10 18:41

浅谈FS段寄存器在用户层和内核层的使用

//weibo:@少仲在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30.分别用OD和Windbg在R3和R0下查看寄存器(
少仲_·2020-09-10 15:54

句柄泄露

这一系列的文章并不是在重复WinDbg/NTSD的帮助文件,而是介绍实实在在的问题,它们是怎么一回事,以及如何解决它们。什么是句柄对于一个程序来说,句柄就是设备,文件,或其它一些系统对象或资源的实例。
maomao171314·2020-09-10 15:19

windbg生成和分析dump

记录一下使用windbg.exe生成和分析dump文件的过程:1,在客户机的注册表中配置调试工具为windbg.exe,具体方法见上面文章。2,配置完成后,在客户机运行程序,使程序崩溃。
锋行天下-宇希·2020-09-10 14:48

调试技巧 —— 如何利用windbg + dump + map分析程序异常

如果光要是这个内存地址,估计你会疯掉~~所以分享一下基本的调试技巧,需要准备的工具有WinDbg+VC6.0,下面是自己整理的一份自动生成DUMP文件的源代码,只需要添加到工程即可,源代码如下:MiniDump.h
逗比汪星人·2020-09-10 10:46

DbgPrint 函数流程分析

当正在用WinDbg内核调试时,调试信息会输出到WinDbg中。或者利用一些辅助工具也能看到输出的调试信息,比如Sysinternals公司的DebugView工具。
weixin_33895657·2020-08-26 23:36

windbg script learn

从需求出发:定位一个句柄占用导致的文件无法删除的问题:#include#include#include#includestd::wstringgetlineFromConsole(){std::wstringstrRet;std::getline(std::wcin,strRet);returnstrRet;}voidErrorWork(conststd::wstringstrPath){auto
kiki商·2020-08-26 23:54

通往WinDbg的捷径

原文:http://www.debuginfo.com/articles/easywindbg.html译者:arhat时间:2006年4月13日关键词:CDBWinDbg导言你钟情什么样的调试器?
haoxing168·2020-08-26 23:07

Windbg dump分析 学习总结

Windbg核心调试之dump分析http://www.pediy.com/kssd/pediy08/pediy8-428.htm标题:Windbg核心调试之dump分析作者:Lvg时间:2006-11
bcbobo21cn·2020-08-26 23:31

构建DDK或者WDK驱动时出现fatal error U1087: cannot have : and :: dependents for same target

好不容易把windbg和vmware环境搭建起来,但是编译WDK驱动时出现这种情况,两个字,蛋疼啊。
xin_wu_hen·2020-08-26 16:44

Windbg dump 方法(转)

Windbgdump方法收藏如何手工抓取dump文件在生产环境下进行故障诊断时,为了不终止正在运行的服务或应用程序,有两种方式可以对正在运行的服务或应用程序的进程进行分析和调试。
a332897696·2020-08-26 12:18

WINDBG基础命令文章1

---第一篇-------------------------------------------------------------------------------Windbg是Microsoft
a332897696·2020-08-26 12:18

windbg常用命令

1!addresseax查看对应内存页的属性2vertarget显示当前进程的大致信息3!peb显示processEnvironmentBlock4lmvm可以查看任意一个dll的详细信息例如:0:026lmvmmsvcrt(deferred)表示察看msvcrt.dll的信息,但是没有加载symbol可以通过.reload命令来加载5.reload/!sym加载符号文件6lmf列出当前进程中加载
a332897696·2020-08-26 12:18

未加载ntdll.dll符号导致调用栈信息丢失

当时没有在意,偶然间,在另一台机器通过windbg调试,没想到显示了完整的调用栈,逐怀疑就ntdll.dll的符号引起的,因为windbg有自动连接到微软的符号服务器。于是,重新抄起v
ani_di·2020-08-25 17:50

windbg】利用umdh分析内存泄露

转载自:http://blog.csdn.net/whatday/article/details/47301145A.利用工具umdh(user-modedumpheap)分析1设置gflags.exe标志rGflags标志设置好后,开启cmd键入要定位内存泄露的程序gflags.exe/imemroyleak.exe+ust如图成功后,开启memoryleak.exe程序2利用umdh创建hea
飞翔的鲲·2020-08-25 17:33
上一页 6 7 8 9 10 11 12 13 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他