WinDBG

反调试

BeingDebugged的值用于判断自己是否处于调试状态BOOLAPIENTRYIsDebuggerPresent(VOID){returnNtCurrentPeb()->BeingDebugged;}x86下用windbg
weixin_30686845·2020-07-08 14:37

PEB windbg笔记

windbg调试进程。
weixin_30622181·2020-07-08 14:11

windbg学习23(!peb和PEB结构)

调试器用户经常会需要查看在启动调试目标时使用了哪些命令行参数,这个信息是保存在PEB中的,可以通过!peb来获取,这个命令将解析PEB并给出完整的命令行,所有已加载DLL的位置,以及环境变量等.0:000>!pebPEBat7ffdf000InheritedAddressSpace:NoReadImageFileExecOptions:NoBeingDebugged:YesImageBaseAdd
weixin_30487201·2020-07-08 13:29

查看进程的 PEB 信息

一)WinDBG+VMWare学习与使用:查看进程的PEB信息1)首先,当然是希望看看虚拟机中运行了哪些进程?这可以用!process命令来查看。在kd>提示符后输入!
weixin_30273763·2020-07-08 13:17

WinDbg命令详解--远程调试

windbg+windbg方式两边都是windbgwindbg本身支持的链接类型有很多:tcp、pipe、com、ssl等。
arbboter·2020-07-08 11:06

WinDbg配置和使用基础

WinDbg是微软发布的一款相当优秀的源码级(source-level)调试工具,可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。
jay52016·2020-07-08 10:49

绕过系统调试器检测

(当然应该也有进程故意针对有调试器情况下做特殊处理的例子,同理是可以绕过去的)步骤打开windbg,打开exe和源代码,加载符号下断点bpkernel32!
北魏的小Eif·2020-07-08 08:20

使用WinDbg双机调试SYS无源码驱动程序

本文演示的是使用VMware虚拟机和WinDbg程序实现双击调试。参考文档和完整的文档和源码下载地址:https://www.write-bug.com/arti
ggdd5151·2020-07-08 07:55

X64进程遍历并获取进程主线程

x64下windbg显示的进程结构体1:kd>dt_SYSTEM_PROCESS_INFORMATIONole32!
熊哥56246777·2020-07-07 23:46

windbg获取TEB(线程环境块)信息

windbg下载安装配置符号路径如果是win10直接下载windbg预览版,预览版只有win10才能用,我的是win7所以下载的是老版本的,老版本去官网中的win10sdk中下载链接:https://developer.microsoft.com
code_greenhand·2020-07-07 22:25

Windbg查看进程的_EPROCESS结构

最近研究某驱动DebugPort清零,学习了使用Windbg查看_EPROCESS结构地址,采用Syser下断查找清零代码。下面主要写下Windbg查看进程的_EPROCESS结构,便以后查阅。
never12345678·2020-07-07 17:46

Win10 Qt5.12.2 + MSVC编译器 dump文件创建与分析

MSVC环境配置3.1.安装Qt3.2.安装VS或者安装对应版本的编译器4.dump文件生成4.1Qt生成dump文件的代码5.Qtdump调试的原材料:pdb文件6.调试6.1使用VS调试6.2使用WinDbg
m_wordPlan·2020-07-07 16:25

windbg查看文件的PTE和PDE

1、下载好windbg,设置好变量symbols(去官网下载对应版本的symbols)2、进入kerneldebug模式的本机调试(内核调试模式),我是在xp虚拟机下进行的。3、用!
??.0427·2020-07-07 13:41

目前最完整的Windbg调试命令详解

Windbg调试命令详解发表于2013年8月23日作者:张佩】【原文:http://www.yiiyee.cn/Blog】1.概述用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序
keidoekd2345·2020-07-07 12:10

WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)

首先介绍PEB和TEB概念:PEB(ProcessEnvironmentBlock,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。TEB(ThreadEnvironmentBlock,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比PEB所在地址低的地方。进程中的每个线程都有自己的一个TEB。调试的程序的时候,了解PEB和TEB往往对分析
iteye_20954·2020-07-07 10:47

windbg 查看某个进程EPOCESS结构

转:http://blog.sina.com.cn/s/blog_5ddb672b01017xrh.htmlwindbg查看某个进程EPOCESS结构,debugport清零内核调试下1.!
huanongying131·2020-07-07 10:14

No symbols loaded

Ifinalyranintoamoredeepererror.InordertodebugitIdownloaded"DebuggingtoolsforWindows"soIcoulduseWinDgb.TheproblemisthatIcan'tmakeWinDbgu
gaowenboms·2020-07-07 08:44

[转载]利用VMWare和WinDbg调试驱动程序

故而只能利用WinDbg了。不过听牛人说过,WinDbg可以把内核的全部结构都显示出来,要比Softice强。等我以后测试看看。
floweronwarmbed·2020-07-07 07:10

利用windbg探索进程和进程上下文

1.列出所有活动进程使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。0:kd>!process00****NTACTIVEPROCESSDUMP****PROCESS821b7490SessionId:noneCid:0004Peb:0000000
cqupt_chen·2020-07-07 05:25

通过PEB的Ldr枚举进程内所有已加载的模块

一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息_PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY二、技术原理1、通过fs:[30h]获取当前进程的_PEB
cqzj70·2020-07-07 05:25

MAC OSX系统下利用VMware Fusion双虚拟机使用Windbg调试windows驱动

Windows镜像Windbg等调试所需软件###环境在虚拟机里面安装XP等Windows系统镜像。(安装教程不赘述)使用VMware的克隆功能或链接克隆功能或再次安装另一个Windows系统。
chenhuan20123·2020-07-07 05:42

利用VMWare和WinDbg调试驱动程序

利用WinDbg了。不过听牛人说过,WinDbg可以把内核的全部结构都显示出来,要比Softice强。等我以后测试看看。
lmyc-film·2020-07-07 04:59

图解windbg查看Win7结构体

首先用windbg打开notepad.exe;dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。
bcbobo21cn·2020-07-07 04:15

sqlserver生成dump文件的方法汇总

sqlserver生成dump文件的方法汇总http://www.yiiyee.cn/Blog/windbg/http://www.cnblogs.com/Clingingboy/archive/2013
咚!·2020-07-07 02:50

windbg symbols path的设置

今天刚刚听到windows内部系列的讲座,对使用windbg敢了兴趣。
Pipi0714·2020-07-06 23:55

【原创】以虚御虚-用虚拟机调试vt程式

准备工作:首先你需要安装以下程式:1.vmware(版本6.0-7.1)2.ida(不一定用得到)3.windbg(也不一定用得到)4.自行编译一份带vt的bochs(版本2.4.1-2.4.6,2.4.1
OSReact·2020-07-06 23:41

MAC 系统下使用vmwarefusion 双虚拟机调试windows驱动

因此双虚拟机调试时,运行windbg的虚拟机的com口要配置成thisendisaclient.也就是两台虚
keidoekd2345·2020-07-06 16:31

windbg调试命令6(!peb、!teb)

WinDBG中!p
iteye_19606·2020-07-06 16:00

PEB结构块解析

windbg信息如下:winxp下,和win7不一样,下面为xp环境0:000>!
liutianheng654·2020-07-06 15:20

windbg bp condition

0:000>bp0012f2fc"j@ecx==0'';'gc'"0:000>gj代表judgement,与c++中的condition?A:B类似。如果断点处ecx是0,则停下;否则gountilnextbreakpoint(gc).bp0012f2fc"j(@@c++(*(int*)(@esp+4)==0x50))'ddesp';'gc'"bp0012f2fc"j(@@c++(*(int*)(
weixin_34319817·2020-07-06 01:52

windbg中安装和使用mona

1、安装mona参照:http://blog.csdn.net/bugmeout/article/details/45199139一键下载win732位下的mona版本:http://download.csdn.net/detail/oatnehc/73679332、mona命令行0:000>!loadpykd.pyd0:000>!pymona**Warning,nosymbolpathset!*
chen_999876·2020-07-05 01:45

windows下定位程序cpu使用过高

利用windbg排查CPU占用过高问题问题描述测试我们自己开发程序时,有时会发生CPU占用过高的问题。对于简单的程序,可能还容易排查是哪个线程占用了CPU。
momo459548255·2020-07-05 00:35

windbg常见调试命令

一、环境配置C:\MyLocalSymbols;SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols;http://10.33.40.55/symbols上面的MyLocalSymbols目录放了系统符号表,网络地址是在本地找不到系统符号表的情况,从网络下载,最后面的是应用程序符号表第一次使用的时候,会从网络上面下载符号表
momo459548255·2020-07-05 00:35

Windbg/x64dbg/OllyDbg调试器简介

原文链接:https://blog.csdn.net/libaineu2004/article/details/104081676一、WindbgWindbg是微软开发的一套调试器中的组件。
lsfreeing·2020-07-04 22:42

Windows系统中内存泄露与检测工具及方法

1.检测需要使用的工具:windbg工具。检测前,需要先安装windbg工具。安装了该工具后,会在安装目录下有一个umdh工具。
TalkU浩克·2020-07-04 18:39

windows高级调试 第五章 内存破坏之一-栈 实例三:栈溢出 动手实践的过程

使用的调试工具是windbg。但是对这个工具不熟悉,很多命令都不会,只好靠多看书来补充了。看了以前买的一本书《AdvancedWindowsDebugging》,中文名是《Windows高级调试》。
canmeng·2020-07-04 17:07

14001错误:由于应用程序配置不正确,应用程序未能启动:OD调试解决办法

直接用WinDBG加载,会显示Win32errorOn14001错误。以前用VC6和VS2003的话,如果
a33445621·2020-07-04 10:58

windbg .exepath命令:windbg调试kernel dump时需要指定image-path

文件Mini121206-01.dmp时,书中P375写到"kd>lmmreal*startendmodulenamexxxxxxxxRealBugT...其中T代表这个模块的时间戳信息缺失,这是因为windbg
Yuri800·2020-07-02 09:01

windbg调试服务程序

基于这个想法,我尝试了在win7上使用windbg调试服务并记录于此。windows上服务程序可分为两部分:服务安装程序和后台服务程序本身。
Yuri800·2020-07-02 09:01

windbg 分析dmp文件之-空指针!!

1、测试程序#include"stdafx.h"int_tmain(intargc,_TCHAR*argv[]){int*pTest=NULL;printf("%d",*pTest);return0;}2、自动生成dmp代码自行copy,这里略。或者通过vs调式的时候选择保存savedumpas...3、启动windbdg1)、配置pdb位置。2)、配置源码位置。4、打开demo1.dmp5、在w
小青峰_jd·2020-07-02 05:48

Win10蓝屏dmp文件分析原因

三、电脑安装WinDbg工具。近按照微软官方要求来安装SDK,并扩展WinDbg(http
草哥的草·2020-07-02 02:48

exe程序运行出错退出,使用windbg查找出错位置

最终解决方案:在同事的帮助下,使用windbg工具,远程调试客户机器,找到原因所在及问题出错位置和函数,出错位置为获取用户硬盘序列号的时候,buf[20]全部为空格,在左右空格并两两颠倒的时候操作内存越界
三醒先生_GDZ·2020-07-02 01:41

Windows调试工具入门 — 1

一、引子DebuggingToolsforWindows是微软发布的一套用于软件调试的工具包(后面如果没有指明,那么我会使用WinDbg来作为这一套调试工具的简称)。
eqera·2020-07-01 23:03

Windows调试器及不同平台符号包下载地址(收集)

WinDbgforWindowsWinDbgforWindows,32bitversion6.6.7.5[15.2MB]http://msdl.microsoft.com/download/symbols
chubaisheng8627·2020-07-01 20:45

WinDBG常用断点命令

WinDBG常用断点命令WinDBG提供了多种设断点的命令:bp命令是在某个地址下断点,可以bp0x7783FEB也可以bpMyApp!SomeFunction。
blacet·2020-07-01 18:42

通过Windbg查找栈溢出的方法之一

1、在一个程序或者产品出错后,使用Windbg进行进程附加。
binjuny·2020-07-01 18:42

Windbg调试二)Windows下c++程序崩溃问题定位

Windows下c++程序崩溃问题定位一,WinDbg调试二,地址偏移计算验证三,通过map文件定位程序崩溃代码行数Windows下c++程序崩溃问题定位主要依赖于代码编译过程中生成的调试信息文件,比如
Simple Simple·2020-07-01 18:25

一.背景 先说下windbg使用场景.各位coder在工作中或多或少都会遇到下面四种情况 1.本地代码好好的,放服务器上运行一段时间后,IIS服务突然占用 w3wp.exe CPU突然100% ,

一.背景先说下windbg使用场景.各位coder在工作中或多或少都会遇到下面四种情况1.本地代码好好的,放服务器上运行一段时间后,IIS服务突然占用w3wp.exeCPU突然100%,不得不回收应用程序池
张俊营同学(EDWARD)·2020-07-01 12:57

Windbg调试一个Windows自带扫雷程序的逻辑bug

大二的时候玩Windows自带的扫雷很多,发现过一个在XP下让扫雷计时器停止的bug,具体参见过去我在mop上发的一个帖子http://dzh.mop.com/topic/readSub_5573508_0_0.html.重现这个bug的步骤很简单,1.打开扫雷游戏;2.开始游戏,点开一块;3.在没有点中雷而结束游戏之前的任何一个时刻,按下开始键+D(开始键就是左边ctrl和alt中间的那个键);
v_jzho·2020-07-01 05:27

关于WinDBG与VM连接时的Waiting to reconnect问题

最近在进行驱动调试学习的时候,按照很多资料上的介绍,修改boot.ini文件[bootloader]timeout=30default=multi(0)disk(0)rdisk(0)partition(1)/WINDOWS[operatingsystems]multi(0)disk(0)rdisk(0)partition(1)/WINDOWS="MicrosoftWindowsXPProfessi
zxb2007·2020-06-30 20:14
上一页 12 13 14 15 16 17 18 19 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他