- 博客(4)
- 收藏
- 关注
RSS订阅转载 记录一下-Windows内核会话和内核调试引擎
Windows启动内核调试后,主要做了以下几个工作1. 建立连接2. 调试器读取目标系统信息,初始化调试引擎(目标机)。3. 内核调试引擎通过状态变化信息包通知调试器加载初始模块的调试符号(目标机)。4. 调试器端发送中断包,将目标系统中断到调试器,交互调试后又恢复执行的过程。5. 因断点命中,目标系统中断到调试器的过程。6. 内核中的模块输出调试字符串(D
2016-03-25 14:18:49
873
转载 Windows内核调试器 - 简介
转自 : 点击打开链接Windows内核调试器 - 原理WinDbg WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftIce这类内核调试器可以实现单机调试)。很多人认为主要功能都是在Wi
2016-03-24 20:27:12
2716
原创 处理*P 对KdSendPacket和KdReceivePacket的IAT HOOK
KdReceivePacket : com串口接收调试包KdSendpacket: com串口发送调试包*P会 IAT Hook这两个收发包的函数,从而阻断我们客户机与虚拟机的通信,这样的话windbg就无法断下来了,从而达到反双击调试。通过反汇编得到如下:KdSendpacket:KdReceivePacket :
2016-03-23 15:20:31
931
转载 记录下过*P的内核调试(蓝屏 无法显示进程)的问题
根据软件调试书上所说,windows启动过程中系统需要调用两次 KdInitSystem()函数。第一次调用KdInitSystem()的时候会初始化一些全局变量包括:1,KdPitchDebugger : 布尔类型,用来表示是否抑制内核调试。当启动选项中包含/DEBUG选项的时候,这个变量会 被置为假。2,KdDeBuggerEnabled: 布尔类型,用来表示内核调试是
2016-03-23 10:25:09
1176
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人