WinDBG

windbg分析minidump

minidump为程序意外中止的瞬间系统及程序运行状况的一个快照,包含的信息如下:导致中止的原因描述加载的驱动程序的列表已停止的处理器的上下文(PRCB)已停止的进程的信息和内核上下文(EPROCESS)已停止的进程的信息和内核上下文(ETHREAD)已停止的线程的内核模式调用堆栈由于minidump内容有限,所以有时候可能并不能分析出程序真正中止的详细原因本着物尽其用的原则,我们来详细描述下拿到
纵横而乐·2020-03-19 09:09

使用WinDbg验证PEB 基于x64

以下基于一个简单的x64位程序,在Windows10x64上调试TEB的结构dt_teb+0x000NtTib:_NT_TIB+0x038EnvironmentPointer:Ptr64Void+0x040ClientId:_CLIENT_ID+0x050ActiveRpcHandle:Ptr64Void+0x058ThreadLocalStoragePointer:Ptr64Void+0x060
成员·2020-03-12 17:08

图解测试之稳定性-测试结果分析

结果分析对于dump文件,可以使用windbg去解析其内容,具体的使
夜境·2020-03-03 07:06

WinDbg知多少

64位系统抓64位进程dump,用64位windbg来分析。
圣杰·2020-02-28 04:00

空指针异常排查

1得到崩溃代码行用windbg分析后,得出如下崩溃代码行,关于如何分析Crash见:Dump调试崩溃代码行2显示最近的一条异常记录输入:.exr-1显示最近的一条异常记录3分析崩溃原因通过“Attempttowritetoaddress0000001c
龙翱天际·2020-02-27 03:09

windbg入门

一、下载安装windbg根据服务器系统选择32为或64位安装二、配置环境windbg符号文件路径会搜索的两个位置:环境变量中的_NT_SYMBOL_PATH以及windbg中的"symblosfilepath
Aulan·2020-02-17 04:32

逆向工具下载汇总

调试器(ce、od、x64dbg、windbg等):看雪的:https://tools.pediy.com/win/debuggers.htm52的(推荐吾爱专用版OD):https://down.52pojie.cn
老胡de博客·2020-02-07 23:36

注入技术系列:一个批量验证DLL劫持的工具

比如通过IDA查看导入的DLL,或者LoadLibrary的DLL,然后慢慢排除某些KnownDlls,排除某些绝对路径加载的DLL...或者通过Windbg分析。虽然技术难度不高,但是挺费事的。
anhkgg·2020-02-05 22:35

VS使用DUMP文件调试

Dump文件是用来给驱动程序编写人员调试驱动程序用的,这种文件必须用专用工具软件打开,如:WinDbg,VisualStudio。
陌若尘_c167·2020-02-05 03:10

dmp文件自动分析

dmp文件的分析,可以借助各种工具,比如WinDbg,CDB,NTSD,KD等。
无敌柴刀·2020-02-02 11:00

VCDebug、Ollydbg、WinDbg字符串条件断点

原文:http://bbs.pediy.com/showthread.php?t=173334大牛直接无视好了网上关于设置字符串断点的文章不多,但是这个又是一个非常实用的功能。拍砖请轻轻的VCDebugVCDebug微软VS自带调试器套件,对字符串断点的支持依然强大。VC支持在断点条件中使用字符串比较函数。ASCII字符集字符串断点设置方法:代码:strcmp(pzString,"DDLX_CHA
乘于时·2020-01-04 11:00

转: windbg-跳过初始断点(调试技巧)

推荐:windbg调试驱动设置断点在对windows的驱动做双机调试时,总会需要在自己编写的驱动代码上设置断点。1这需要首先,在windbg上设置工作空间(workspace)在这步ntdll!
乘于时·2020-01-04 11:00

一顿操作之后成功在win7 64版本输出VT是否可用

www.cnblogs.com/onetrainee/p/11675224.html一顿操作之后成功在win764版本输出VT是否可用之前都是在xp32位下编写驱动,现在转到win764位,又涉及IDA+windbg
OneTrainee·2019-12-29 09:00

VT 调试环境搭建

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlVT调试环境搭建调试方法:VmWare+win7x64+windbg+
OneTrainee·2019-12-29 06:00

我是这么学习 WinDBG

WinDBG的命令简(难)洁(懂),多(难)样(记),功(反)能(人)强(类)。许多同学都感觉它功能强大但是不容易上手。今天我介绍另一种方式希望对大家有所帮助。
远程板砖·2019-12-25 04:26

关于DML的一些使用

许多WinDbg命令(以及扩展命令)都支持DML。
活着的虫子·2019-12-13 11:00

WinDbg

一、WinDbg配置第一次用时,安装好之后,需要配置环境变量。否则有些命令不可以用。
20199302·2019-12-12 19:00

常用windbg命令

1、查看版本信息:version、vertarget。2、查看模块信息:lm、!dlls、!lmvi等。3、调用栈:用k命令显示调用栈,用.frames命令切换栈帧。4、内存操作:读内存用d命令,写内存用e命令。5、自动分析:!analyze、!owner等。6、符号命令:.reload加载符号,.sympath设置符号路径,!sym设置符号选项。7、进程线程:!process显示进程信息;.pr
心媛意码·2019-12-11 23:00

WinDbg常用命令系列---sx, sxd, sxe, sxi, sxn, sxr, sx- (设置异常)

简介sx*命令控制调试器在正在调试的应用程序中发生异常或发生某些事件时采取的操作。使用形式sxsx{e|d|i|n}[-c"Cmd1"][-c2"Cmd2"][-h]{Exception|Event|*}sx-[-c"Cmd1"][-c2"Cmd2"]{Exception|Event|*}sxr参数-c"Cmd1"指定在发生异常或事件时执行的命令。当处理此异常的第一次机会发生时,无论此异常是否中断
活着的虫子·2019-12-10 13:00

WinDbg常用命令系列---!runaway

简介!runaway扩展显示有关每个线程使用的时间的信息。使用形式!runaway[Flags]参数Flags指定要显示的信息类型。标志可以是以下位的任意组合。默认值为0x1。位0(0x1)使调试器以显示每个线程使用的用户时间量。位1(0x2)使调试器以显示每个线程使用的内核时间量。位2(0x4)使调试器以显示每个线程创建以来已经过去的时间量。支持环境Windows2000Uext.dllNtsd
活着的虫子·2019-12-10 09:00

WinDbg常用命令系列---!findstack

简介!findstack扩展查找所有包含指定的符号或模块的堆栈。此命令搜索线程调用堆栈中的特定符号,并显示匹配的线程。使用形式!findstackSymbol[DisplayLevel]!findstack-?参数Symbol指定符号或模块。DisplayLevel指定显示内容。这可以是以下任何一个值。默认值为10显示仅包含每个线程的线程ID符号。1显示线程ID和包含每个线程的帧符号。2将显示包含
活着的虫子·2019-12-09 19:00

WinDbg常用命令系列---!uniqstack

简介这个!uniqstack扩展扩展显示的所有线程的堆栈的所有当前进程,不包括显示为具有重复项的堆栈中。使用形式!uniqstack[-b|-v|-p][-n]参数-b将导致显示以包括前三个参数传递给每个函数。-v将导致显示以包括帧指针省略(FPO)信息。在基于x86的处理器中,还会显示的调用约定信息。-p将导致显示堆栈跟踪中包含每个函数的完整参数。此列表将包括每个参数的数据类型、名称和值。这要求
活着的虫子·2019-12-09 19:00

WinDbg中显示和搜索std::map内容

我们希望在WinDbg中自动显示、搜索和过滤std::map对象。std::vectors的脚本相对简单,因为vectors中数据的平面结构;map是更复杂的野兽。
活着的虫子·2019-12-09 17:00

WinDbg中显示和搜索std::vector内容

WinDbg从来都不擅长可视化。尽管VisualStudio一直都有autoexp.dat,而且最近还出现了本机调试器可视化工具,但WinDbg用户不得不满足于转储内存区域和搜索内存来识别模式。
活着的虫子·2019-12-09 17:00

WinDbg中调试时如何查看类/结构对象成员的值

有时,当您调试应用程序时,会碰巧得到指向类的指针,该类只有几个成员变量,包括结构和其他类对象!如何看待内部类/结构变量成员的值??所以,这是提示。下面是用于演示命令的代码。structtestStruct{inti;charch;longl;char*str;};classmyClass2{public:myClass2();~myClass2();testStructstructObj;};my
活着的虫子·2019-12-09 11:00

如何调试由其他可执行文件启动的进程!

Windbg已经解决了这个问题!当您选择“打开可执行文件”时,您有一个小的复选框,上面写着“同时调试子进程”,它实际上确保所有由父EXE生成的进程(您在这个对话框中选择了它!)也由调试器附加。
活着的虫子·2019-12-09 11:00

如何查看WinDbg扩展有哪些命令

如果您想查看任何windbg扩展所支持的命令,可以采用各种方法。你可以用!.help命令查看该扩展支持的所有命令。用扩展模块名替换。(注意:只有特定扩展支持help命令时,此操作才有效。)
活着的虫子·2019-12-09 10:00

WinDbg中的转储查看操作系统版本和SP详细信息

这是一个很常见的问题,我们几乎总是遇到。想象一下这样一种情况,我们从某个地方得到一个内存转储,想看看在那里运行的是什么操作系统,安装了什么SP。。为此,有一个非常简单的命令。0:000>vertargetWindows7Version7601(ServicePack1)MP(8procs)Freex86compatibleProduct:WinNt,suite:SingleUserTSkernel
活着的虫子·2019-12-09 09:00

windows 10 BAD_POOL_CALLER 蓝屏问题解决

1903,1909的windows10更新最新bios,安装了大部分更新后,开机一小段时间后总是蓝屏,错误代码报BAD_POOL_CALLER,windbg看了下,报iastorAVC的错误,搜了下这个文件的签名和信息
yoke88·2019-12-06 10:30

[原]调试实战——使用windbg调试崩溃在ole32!CStdMarshal::DisconnectSrvIPIDs

初识问题用windbg打开dump文件,显示如下:startup从图中可以很明显的看出来是访问违例(因为红框标识的地址5bbc97f8的内
BianChengNan-BCN-BCN·2019-11-29 07:00

WinDbg常用命令系列---.cmdtree

您可以按所需方式修改{}之间的节:windbgANSICommandTree1.0title{"CommonCommands"}body{"CommonCommands"}{"Information"}
活着的虫子·2019-11-28 18:00

windebug(别人的节选)

问题一:WinDBG分X86和X64两个版本如果你用的是32位的WinDBG,那直接打开就行;你如果用的是64位的版本,那么如果调试64位代码也直接打开,如果调试x86的代码,要使用Wow64下的WinDBG.exe
冬夏与春秋·2019-11-20 14:00

windbg 常用命令详解

windbg常用命令详解https://blog.csdn.net/chenyujing1234/article/details/7743460vertarget显示当前进程的大致信息lmvm可以查看任意一个
白马酒凉·2019-11-11 02:00

win7 64位操作系统使用windbg64位虚拟机调试win7 64位系统

前言略去,假定你安装完成了windbg和虚拟系统.1.关闭虚拟机,点击编辑设置,删除打印机串口,添加串口,该端是服务端,另一端是应用程序2.进入系统,命令行打开cmd,如果需要,请使用管理员打开3.输入
御坂网络·2019-11-06 05:10

用ollydbg浅识TEB和PEB用来反跟踪 x86

大部分内容引用于:http://bbs.pediy.com/thread-119827.htm以下内容基于x86系统,x64请查看使用WinDbg验证PEB基于x64首先,来了解下什么是TEB和PEB。
成员·2019-11-04 01:13

4_中断现场中

虚拟机和模拟器区别:--windbg双机调试给虚拟机下断点是跟虚拟机子系统进行交互,可能windbg调试器会修改到内核环境:比如寄存器、gdt表等会被改变(有时候你调试发现windbg中gdt的某项数据和
leibso二狗·2019-10-22 11:00

dump net core windbg 内存分析

!dumpheap-stat//检查当前所有托管类型的统计信息0:000>!dumpheap-stat//检查当前所有托管类型的统计信息....00007ffdb9387a9877710169462436System.Char[]00007ffdb938c988588917115563505System.Byte[]00007ffdb93892201026406119828936System.In
chesterdotchen·2019-10-22 11:00

dump net core windbg 安装

安装1.下载工具windbg地址:https://www.microsoft.com/zh-cn/p/windbg-preview/9pgjgd53tn86?
chesterdotchen·2019-10-22 11:00

dump net core lldb 安装

进程生成转储文件,并使用lldb进行分析随着netcore应用在linux上部署的应用越来越多,碰到cpu100%,内存暴涨的情况也一直偶有发生,在windows平台下进程管理器右键转储,下载到本地使用windbg
chesterdotchen·2019-10-22 11:00

Docker中如何调试剖析.net core 的程序。

前言现在.netcore跨平台了,相信大部分人都把core的程序部署在了linux环境中,或者部署在了docker容器中,与之对应的,之前都是部署在windows环境中,在win中,我们可以用windbg
James陶·2019-10-21 10:00

Windows下如何调试驱动程序

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html一、配置Windbg使用双机调试win10中“windbg+vmware
OneTrainee·2019-10-15 15:00

Windbg 字符串条件断点

0x01前言Windbg作为Windows下的主流调试器,除了人机交互相比其他调试器略有不足外,其他功能都是十分强大的存在。
护花使者cxy·2019-10-01 19:53

WinDBG 配置内核双机调试

WinDBG是在windows平台下,强大的用户态和内核态调试工具,相比较于VisualStudio它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大,WinDBG
lyshark·2019-09-19 10:00

Windows下jmap命令报错问题

Attachingtocore17536fromexecutableheap,pleasewait...Errorattachingtocorefile:WindbgError:OpenDumpFilefailed
ocean.wen·2019-09-16 13:00

Windows Server 2012 R2蓝屏

mssmbios.sys、srv.sys,作为一名IT工程师,必须去研究查找原因,试验很多方案都不行,可把我折腾坏了,因为服务器都是在内网,排出外在的因素,最后把报错代码找出来,便于其他小伙伴遇到同样的问题,用WinDbg
______Smileヾ淡莣丶·2019-09-11 11:00

Windbg 实践之结合条件断点

Case11、buUSER32!PostMessageW"r$t0=@$t0+1;.printf\"PostMessageWCallCount:%d\",@$t0;.echo;g"分号是用来分离语句的;$t0是伪寄存器;@$t0是读取寄存器当中的值;2、buUSER32!PostMessageW"kbL2"a)如果命中,打印2层栈帧。这个技巧可以看到到底是谁调用的指定的函数。b)另外通过找到函数的
KHacker·2019-09-03 16:00

windbg预览版,windbg preview配置win7x64双机调试

目录一丶简介二丶步骤1.下载WindbgPreview(windbg预览版本)2.配置虚拟机端口3.虚拟机设置调试湍口4.windbgpreview开始调试.一丶简介Windbg配置双机调试的例子网上很多
iBinary·2019-08-23 16:00

windows开启windbg service服务的方法

windbg:windows一种方便远程管理的服务;开启winrmservice,便于在日常工作中,远程管理服务器,或通过脚本,同时管理多台服务器,来提高工作效率Doscommand:#setwimrmREMsetnetworkasPrivatePowerShell-Command
菜鸟清风·2019-08-20 09:49

生产环境(基于docker)故障排除? 有感于博客园三番五次翻车

Net本身是提供了sos.dll工具帮助我们在生产中故障排除,通过提供有关内部公共语言运行时(CLR)环境的信息,帮助您在VisualStudio和Windows调试器(WinDbg.exe)中调试托管程序
nodotnet·2019-08-19 15:00

WinDbg命令系统

WinDbg命令系统WinDbug三种命令WinDbug是一个强大的调试器,大部分很多功能都是通过命令来实现的,命令在命令窗口中输入,主要分为以下三类:标准命令标准命令提供了调试器的基本功能,大部分都是一个字母
#搬砖仔·2019-08-18 20:00
上一页 17 18 19 20 21 22 23 24 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他