注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

熊猫正正的博客

熊猫正正的天空

 
 
 

日志

 
 

windbg 命令集 &总结  

2012-03-13 17:38:18|  分类: window驱动学习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

看到别人写的这个东西,对我初用Windbg者而言,实在是宝贵啊!

!strct eprocess

dt -v -r ntdll!_peb (windows2003下改为:dt -v -r nt!_peb)

dt _eprocess

dt -v -r _eprocess (加上-v -r显示详细结构)

dt nt!_driver_object

列出可以调试的驱动程序

lm t n   (以前是!drivers)

加入源代码调试

file->source file path

设置符号文件

file->symbol file path

给驱动程序下断点

设置好symbol file path和source file path

然后file->open source file打开调试驱动程序的源代码。

在对应的代码上按f9

下断点后,程序对应的行会变成红色。

注意:sys是通过checked environment生成

查看DeviceIoControl 的inputbuffer

通过上面的方法在npid=*((DWORD *)InputBuffer)下断点。然后,在windbg的watch上面加入nPid已经InputBuffer。查看到InputBuffer为0xxxxx,然后在windbg上输入:dc 0xxxxx。就可以查看到InputBuffer对应的值。

产生如下错误:

*** Fatal System Error: 0x0000007e
                       (0xC0000005,0xF9FDB318,0xFA06EB88,0xFA06E884)

找到原因:Fatal System Error: 0x0000007e错误对应

Bug Check 0x7E: SYSTEM_THREAD_EXCEPTION_NOT_HANDLED

然后看0xC0000005对应

0xC0000005: STATUS_ACCESS_VIOLATION 
A memory access violation occurred.

所以结论是:A memory access violation occurred.

!process命令

!process 0 0 查看系统全部进程信息 (在虚拟机器远程调试才行)

!process cid ParentCid        其中cid就是pid的十六进制表示

查看特定地址的eprocess结构内容

dt _eprocess 81bef448

1. 查询符号
kd> x nt!KeServiceDescriptorTable*
8046e100 nt!KeServiceDescriptorTableShadow = <no type information>
8046e0c0 nt!KeServiceDescriptorTable = <no type information>
kd> ln 8046e100
(8046e100)   nt!KeServiceDescriptorTableShadow   | (8046e140)   nt!MmSectionExtendResource
Exact matches:
nt!KeServiceDescriptorTableShadow = <no type information>
2. 下载系统文件的符号
symchk c:\winnt\system32\ntoskrnl.exe /s srv*c:\symbols*http://msdl.microsoft.com/download/symbols
SYMCHK: FAILED files = 0
SYMCHK: PASSED + IGNORED files = 1
3. 查看 event 对象的信号状态
!object \BaseNamedObjects
dt -b nt!_KEVENT xxxxxxxx
4. 查看 LastError 
!gle
5. 指定进制形式,0x/0n/0t/0y 分别表示 16/10/8/2 进制
? 0x12345678+0n10
Evaluate expression: 305419906 = 12345682
6. 过滤命令窗口输出信息
.prompt_allow -reg +dis -ea -src -sym
7. .formats 命令
以多种格式显示表达式的值
0:000> .formats @eax
Evaluate expression:
Hex:     00181eb4
Decimal: 1580724
Octal:   00006017264
Binary: 00000000 00011000 00011110 10110100
Chars:   ....
Time:    Mon Jan 19 15:05:24 1970
Float:   low 2.21507e-039 high 0
Double: 7.80981e-318
8. 异常处理相关
有 sx, sxd, sxe, sxi, sxn, sxr 几条命令可用来设置异常和事件的处理方式。比如:
0:000> sxe ld
可以在加载 dll 时中断下来。
9. 内核调试时切换进程
lkd> !process 0 0
lkd> .process xxxxxxxx
10. 可在桌面上建立一个 WinDbg.exe 的快捷方式,然后在该快捷方式的属性力设置如下命令行
C:\WinDBG\windbg.exe -c ".prompt_allow +dis -reg -ea -src -sym; .enable_unicode 1; .enable_long_status 1; .logopen /t c:\dbglog\dbglog.txt"
11. 本机内核调试
通过File/Kernel Debug… 菜单可以打开内核调试选择窗口,选择最后一个 Local 选项页,确定后可以以内核方式调试本地机器。这时所有会挂起系统的命令都用不了了,但可以读写系统内存。另外,有一个方便的用途是用来查看系统结构,比如:dt nt!_EPROCESS
  评论这张
 
阅读(77)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017