在内核态下巧设用户模块断点

最新推荐文章于 2022-09-01 00:10:48 发布
原创 最新推荐文章于 2022-09-01 00:10:48 发布 · 1.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#thread #image #token #c

在调试内核时,若需在kernel32中设置断点,但当前进程和线程为Idle,直接设断点会失败。本文讨论如何在内核态巧妙地为未加载的用户模块kernel32设置断点,解决调试难题。

假如我们调试内核时,需要在kernel32中设断点。一般情况下,使用调试器中断到内核中时,当时进程和线程都是Idle,

kd> !process
PROCESS 8054a900  SessionId: none  Cid: 0000    Peb: 00000000  ParentCid: 0000
    DirBase: 00039000  ObjectTable: e1000d68  HandleCount: 128.
    Image: Idle
    VadRoot 00000000 Vads 0 Clone 0 Private 0. Modified 0. Locked 0.
    DeviceMap 00000000
    Token                             e1000820
    ElapsedTime                       00:00:00.000
    UserTime             &

最低0.47元/天 解锁文章
再探内调试--如何在内调试下对用户进程下断点
Eif的专栏
10-18 925
本文将对Windows平台下的内调试中,对我们想要调试的用户进程进行下断点等探索 1. 准备工作 见初探 2. 对调试目标程序下断点 我们在初探中已经提到对记事本进程进行观察的方法,这里我们将尝试对自己的进程下断点。在初探中,我们已经能看到了记事本的堆栈,在进行了.process操作之后,是不是就可以像普通调试一样下断点呢? 2.1 下断点之前的一些操作 windbg连接成功后,首先会...
调测工具(一) kprobe
cui841923894的博客
08-23 2322
Kprobe介绍 Kprobe是一种内调测手段,它可以动地跟踪内的行为、收集debug信息和性能信息。可以跟踪内几乎所有的代码地址(almost:不允许跟踪的名单blacklist在/sys/kernel/debug/kprobes/blacklist),并且当断点被击中后会响应处理函数。 Kprobe有个子功能: Kprobes:几乎可以插入内的任何指令; Jprobes:可...
在内调试会话中设置用户断点
weixin_30321709的博客
12-09 220
使用内调试会话也可以执行一些用户调试任务,比如向位于用户模块设置断点。但这样做与使用用户调试器有什么不同呢?我们就以向NTDLL.dll模块的ZwTerminateProcess函数(Stub)为例二者的区别。 区别一、在内调试会话中设置这个断点的“难度”略大些。这是因为NTDLL不属于内模块,所以内会话通常不会加载这个模块(的符号),因此当执行bp命令时很可能被自动...
5步下应用层断点
weixin_30361641的博客
11-25 89
1:使用 !process00 察看所有 EPROCESS2:使用.process/p+ 需要断的应用程序的EProcess地址,切换到应用程序的地址空间例如:.process/p0x80a02a603:重新加载userPDB文件.reload/f/user4:使用非侵入式的切换进程空间.process/i/p0x80a02a605:下应用...
linux内断点,如何在Linux内中设置断点
weixin_39650756的博客
04-29 363
function q1{set -xmodprobe vfiomodprobe vfio-pciecho 15b3 101a >/sys/bus/pci/drivers/vfio-pci/new_idls /dev/vfioqemu-system-x86_64 --enable-kvm \-S \-cpu qemu64 \-n...
Windows 2021系统下巧设IE的秘笈.docx
09-27
总的来说,通过组策略设置,网络管理员可以在Windows 2021系统下有效地管理和保护IE浏览器,提高服务器的安全性,防止未经授权的改动,并能快速应对可能出现的浏览器故障。这些技巧对于维护一个安全、稳定的服务器...
二年级信息技术下册 巧设分区出效果教案 泰山版
08-19
本文将以“二年级信息技术下册 巧设分区出效果教案 泰山版”为切入点,深入探讨这一教案的设计理念、教学目标、教学过程以及如何有效地提升学生的信息技术实践能力。 首先,教案的目标是让学生掌握文本框的基本操作...
二年级信息技术下册 巧设分区出效果 1教案 泰山版
08-19
本节课是针对二年级信息技术课程的内容,主题为“巧设分区出效果”,主要目的是让学生掌握在Word 2000软件中如何插入和修饰文本框,从而实现文字的版面布局和美化。这一教学活动对于培养学生的计算机基础应用能力和...
二年级信息技术下册 巧设分区出效果教案 泰山版.doc
10-13
本文档主要介绍了小学二年级信息技术课程的教学教案,主题为“巧设分区出效果”,使用泰山版教材。教学目标聚焦于让学生掌握插入文本框、改变文本框的底色和边框的操作,旨在提升学生的自主学习和合作学习能力。 1....
windbg双机调试时对R3函数下断
huobengle
11-08 418
对于刚接触windbg的童鞋可能想在双机调试的环境下查看某个用户函数的反汇编,可能会直接下直接断点,这是会产生如下提示的错误Bpexpression ‘*******’couldnotberesolved,addingdeferredbp这是因为没有切换到用户环境。 可依次执行如下命令kd> !process 0 0 explorer.exe PROCESS 81fff020 Sess...
SEGGER调试利器RTT,替代串口,高速数据上传
qlexcel的专栏
09-01 9847
下载RTT代码,地址:在工程目录里面新建一个 SEEGER 文件夹,将 RTT 组件内容全都添加进去,添加的内容把RTT 文件夹中的2个c文件添加到 MDK 工程添加RTT文件夹的路径到工程移植完成!
Windbg 内调试用户程序然后下断点正确触发方法(亲自实现发现有效)
如鹿渴慕泉水的专栏
02-21 2484
先开启真机内kernel调试!process 0 0 svchost.exe找到进程cid的地址然后进入.process /p  fffffa8032be2870然后.process /i; g再次中断后继续一定要重新加载用户调试符号.reload /f /user或者.process /r /p  fffffa8032be2870先下一个kernel32断点bp /p fffffa8032...
以前写过的文章----用windbg内核模式调试用户程序
weixin_33913377的博客
03-22 438
今天非常激动。。终于解决了我调试驱动非常头痛的问题。。。。 在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。 链接如下: http://bbs.driverdevelop.com/htm_data/125/0901/115354.html 高端调试的文章转载 http://advdbg.org/blogs/advdbg_system/ar...
Windows下64位驱动调试方法
jmhIcoding
03-10 5567
尴尬的境地 囧 很多时候,我们写的驱动是64位的,而这种64位驱动是不可以在代码中加入_asm int 3 中断来实现在合适的地方进入中断。因为vs此时会报:error C4235: 使用了非标准扩展: 不支持在此结构上使用“_asm”关键字 。 而目标平台又要求一定是64位的,因此这就很尴尬了。 好在,使用WinDBG可以解决这个问题。心原理是WinDbg向gdb一样支持 按函数名下断点。因此...
Windbg教程-调试非托管程序的基本命令中
weixin_33674976的博客
02-28 222
前面的文章调试非托管程序的基本命令上讲到如何在windbg里面启动一个程序并且加载调试符号文件。一旦符号文件加载完毕以后,就可以进行调试了,例如设置断点,查看堆栈信息等等。   因为是刚刚启动程序(main函数还没有机会执行),可以查看源代码了解要设置断点的地方。设置断点可以使用bp、bu和bm来做,其中bp可以根据函数名、指令地址以及源代码文件地址来设置断点。   bp命令是在设置断...
数据断点
Anna的博客
04-21 4370
前言:  在一个大的项目里面,对一个良好编程风格的作用感触会很深。 有的时候一些Struct或者Public的Class的数据成员总是让我们感到困惑,因为我们有时候是很难监控到它们是什么时候被改变的,当代码很多很乱的时候,靠“人肉搜索”基本上是无法真正找到改变的代码的,有的时候莫名其妙的就被改掉了,这种行为和可能性都很容易出现的。如果有一组Get和Set的话,可以在这个函数里面设置一个断点
巧设密码保管机密:新奇加密招式大揭秘
在信息安全领域中,加密是一种保护机密的常见手段,但是加密也存在被破解的风险。为了更好地保护机密,需要了解各种新奇的加密招式和方法。本文将为大家介绍一些新奇的加密招式和方法,例如让文件“蒸发”、文件阅读...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值