记录下过*P的内核调试(蓝屏 无法显示进程)的问题

最新推荐文章于 2024-05-18 10:46:19 发布
最新推荐文章于 2024-05-18 10:46:19 发布
阅读量1.2k 收藏
点赞数
本文详细介绍了Windows启动过程中涉及的内核调试初始化步骤,包括关键全局变量的作用及设置方法,如KdPitchDebugger、KdDeBuggerEnabled等,并提供了一种禁用调试的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

根据软件调试书上所说,windows启动过程中系统需要调用两次 KdInitSystem()函数。

第一次调用KdInitSystem()的时候会初始化一些全局变量包括:

1,KdPitchDebugger : 布尔类型,用来表示是否抑制内核调试。当启动选项中包含/DEBUG选项的时候,这个变量会       被置为假。

2,KdDeBuggerEnabled: 布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或                                  者/DEBUGPORT,而且不包含/NODEBUG时,这个变量会被置为真。

3,KiDebugRoutine: 函数指针类型,用来记录内核调试引擎异常处理回调函数,当内核调试引擎活动时,指向                 kdpTrap函数,否则指向KdpStub函数。

                      

4,KdpBreakpointTable: 结构数据类型,用来记录代码断点,每一个元素为 BREAKPOINT_ENTRY结构,用来描述         一 个断点,包括断点地址。

5,KdDebuggerNotPresent: 布尔类型,用于在内核调试器对话过程中,接受到复位包之后,会将此全局变量设置为0

6,KdEnteredDebugger: 布尔类型,当内核调试器收到复位包之后清零KdDebuggerNotPresent冻结内核的时候,k         KdEnterDebugger函数会赋值KdEnteredDebugger = TRUE。

      

      所以这里可以直接patch掉,eb 8065f7f1 c7 05 c4 d6 54 80 00

      同时可以通过在KdEnterDebugger函数下断点来追踪 *p的调用。



总结:综上所述如果要在双击调试*P的话,首先需要做如下几件事:

          KdPitchDebugger  = TRUE

          KiDebugRoutine  指向 KdpStub

          KdDeBuggerEnabled = 0

          KdDebuggerNotPresent =  TRUE

          patch 以下 KdEnterDebugger 函数

          

allenwangdiy
关注
windows 内核调试工具 Windbg
03-16
内核调试则允许开发者直接对这些核心功能进行检查和调试,以找出可能导致系统不稳定或性能问题的根源。 Windbg的主要功能包括: 1. **实时调试**:在目标计算机上运行Windbg,通过调试器和被调试进程或系统建立...
分享Win10 1903过TP的双机调试问题
10-15
在本篇关于Win10 1903操作系统版本下通过双机调试来绕过安全检测的文章中,作者详细描述了在进行双机调试过程中所遇到的典型问题以及相应的解决方案。文中提及的操作和遇到的问题都围绕双机调试技术展开,这是软件...
Windows驱动(3)-记一次内核模块导致蓝屏调试
iextract的博客
05-09 1645
在(2)中有了一个小小的内核驱动模型,今天在向里边儿添加一个字符串的存取功能时,一直在蓝屏,想不通哪里会出问题,没办法,WinDbg走一波 先在 ATK_SEND_STR 这里的分支case下断点,WinDbg会在我们运行Ring3级别代码,向驱动发出 ATK_SEND_STR 控制命令的时候停下来,顺带弹出源码。开始单步F0,先跑一次看看情况。查看调用栈,没什么问题,继续F10,一直到驱动部分re
【WindowsDDK】内核字符串操作蓝屏的一个解决办法
pwpal的专栏
12-10 645
前一段时间参加了学校的网络安全竞赛。其中有一道题目是“拦截注册表”,使用SSDT HOOK ZwSetKeyValue函数。在自己的ZwSetKeyValue函数中,需要对传递进来的注册表路径与设定好的注册表路径进行匹配(ANSII 比较),如果一样,则被拦截。否则,则放行。   虽然在Windows内核中并不推荐使用C语言的字符串操作的库函数,但又没有其他好的办法的时候仍然需要使用。我在程序中
内核调试学习笔记
zfdyq
12-17 2361
内核调试学习笔记  第一次调用KdInitSystem会初始化一下全局变量:   1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。 2.KdDeBuggerEnable:布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或者/DEBUGPORT 而且不包含/NODEBUG时,这个变量会被设
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1703
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
Windows内核调试器原理浅析
创造神话,实现梦想!
03-21 1099
Windows内核调试器原理浅析                                                                                           前段时间忽然对内核调试器实现原来发生了兴趣,于是简单分析了一下当前windows下主流内核调试器原理,并模仿原理自己也写了个极其简单的调试器:)
Windows串口调试通信协议KDCOM.DLL的反向分析及Asm和C源代码
aerror的专栏
09-21 7539
前段时间突然兴趣大发,把KDCOM.DLL用IDA进行了分析和阅读,并导出成asm文件,作了修改和编译使之可以编译后替换原先的kdcom.dll正常工作, 这之间最难的莫过于kdcom.dll无法进行调试和跟踪的问题了, 手段非常有限, 我暂时只知道使用一下Vmware的后门I/O port进行一些检测性的LOG,以致使由反向代码编译出的kdom.dll最终能正常工作花费了我极多的时间.事实上
WinDbg内核调试入门与技术选介:驱动蓝屏排查指南
WinDbg内核调试使用说明是一篇详细指南,旨在帮助驱动开发者理解和利用Windows内核调试工具,特别是WinDbg,来定位和解决系统蓝屏问题。作者假设读者对Windows操作系统和进程的基本概念有所了解,但针对的是有一定...
深入了解WINDOWS内核调试教程
综上所述,通过这本《WINDOWS内核调试经典教程》,读者可以对Windows内核调试有全面深入的理解,并掌握相关的调试技术,从而能够应对日常工作中遇到的各种系统问题,特别是在系统崩溃和性能优化方面的挑战。...
WinDbg实战:探索Windows内核调试进程分析
本文档介绍了如何通过四个实践性的Windbg实验深入了解Windows内核调试。首先,实验者将学习如何配置WinDbg,以便与本地内核进行调试,并设置符号服务器路径。这包括启动内核调试模式,设置符号文件的本地存储,以及...
KdEnteredDebugger变量的定位
haodawei123的博客
02-01 655
下面是 KdEnterDebugger函数xp下面的代码: 通过这个函数可以定位到KdEnteredDebugger这个变量的位置 8065e871 c705c4d4548001000000 mov dword ptr [nt!KdEnteredDebugger (8054d4c4)],1 8065e873-8065e806=0x6d,读取KdEnterDebugger函数的6d处就能得到 KdE...
过某P之KdEnteredDebugger检测
08-24 1854
某p在双机调试时,会检测KdEnteredDebugger是否等于1,如果等于1就重启。 我们的办法是让检测永远检测到0。经过分析,当位置为KdEnteredDebugger+0x20时值是0。我们可以修改指向。只要inline hook IoAllocateMdl 即可 PMDL MyIoAllocateMdl( __in_opt PVOID VirtualAddress, __in...
读书笔记_windows内核调试_part 2_内核对话过程
wodamazi
10-14 141
内核对话 Windows启动内核调试后,主要做了以下几个工作 1. 建立连接 2. 调试器读取目标系统信息,初始化调试引擎(目标机)。 3. 内核调试引擎通过状态变化信息包通知调试器加载初始模块的调试符号(目标机)。 4. 调试器端发送中断包,将目标系统中断到调试器,交互调试后又恢复执行的过程。 5. 因断点命中,目标系统中断到调试器的过程。 6. 内核中的模块输出调试字符串(Dbg...
天堂W游戏内核驱动保护简单分析()
最新发布
jian274622701的博客
05-18 862
思路1: Hook这个函数将第一个参数设置为explorer.exe, 函数就会把游戏进程的DebugObject对象转移到Explorer->Process->DebugPort, 就算游戏保护对游戏进程的DebugPort清零,也不会影响我们调试 思路2: 处理NTCreateDebugObject, 采用Hook ObCreateObject函数判断上层调用者是否是NTCreateDebugObject, 如果是,则将参数里的DebugObject备份保存 思路3: 需要修改偏移的函数。
KiDispatchException
FadeTrack
03-09 2546
VOID KiDispatchException ( IN PEXCEPTION_RECORD ExceptionRecord, IN PKEXCEPTION_FRAME ExceptionFrame, IN PKTRAP_FRAME TrapFrame, IN KPROCESSOR_MODE PreviousMode, IN BOOLEAN FirstCha
Win7 x86内核调试与TP反调试的研究
weixin_30783629的博客
04-10 874
参考这两天对某P双机调试的学习及成果,非常好的一篇分析贴。 本文在Win7 x86下的分析,在虚拟机中以/DEBUG模式启动TP游戏,系统会自动重启。 0x01 内核调试全局变量 根据软件调试第十八章,windows启动过程中会调用两次KdInitSystem()函数 第一次调用KdInitSystem分别会初始化如下变量 1.KdPitchDebugger : Boole...
驱动中获取PsActiveProcessHead变量地址的五种方法
weixin_33949359的博客
11-24 253
PsActiveProcessHead的定义: 在windows系统中,所有的活动进程都是连在一起的,构成一个双链表,表头是全局变量PsActiveProcessHead,当一个进程被创建时,其ActiveProcessList域将被作为节点加入到此链表中;当进程被删除时,则从此链表中移除,如果windows需要枚举所有的进程,直接操纵此链表即可。 方法一:从Kd...
深入理解SEH
For Geek
05-08 2107
KiDispatchException我们已经知晓,其内核态的异常分发主要靠检测“KiDebugRoutine”,是否拥有调试器来实现,然后根据RtlDispatchException来调用内核的SEH来处理。对于PreviousMode为userMode而言,其SEH和VEH链最后是由KiUserDispatchException来处理的,所以我们这次深入看看KiUserDispatchExce...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值