windbg指令-!drvobj

最新推荐文章于 2023-01-30 23:00:00 发布
最新推荐文章于 2023-01-30 23:00:00 发布
阅读量4.3k 收藏
点赞数
分类专栏: 驱动 文章标签: object extension list 数据结构 filter c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/goodwinds/article/details/2517477
版权
本文介绍如何使用Windbg调试Windows驱动程序,包括使用!drvobj、!devobj和!devstack命令获取驱动及其设备对象信息的方法,以及如何设置断点。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

!drvobj
!devobj
!podev
!devstack

"!drvobj Driver Name | PDRIVER_OBJECT pointer" 列出这个驱动创建的所有设备。

kd> !drvobj /Driver/i8042prt
Driver object (82158040) is for:
 /Driver/i8042prt
Driver Extension List: (id , addr)

Device Object list:
8213c3d0  82153738 

当你有了一个设备列表,传入设备指针给!devobj或!devstack来得到更多信息。

 kd> !devobj 8213c3d0 
Device object (8213c3d0) is for:
  /Driver/i8042prt DriverObject 82158040
Current Irp 00000000 RefCount 0 Type 00000027 Flags 00002004
DevExt 8213c488 DevObjExt 8213c768
ExtensionFlags (0xe0000000)  DOE_RAW_FDO, DOE_BOTTOM_OF_FDO_STACK,
                             DOE_DESIGNATED_FDO
AttachedDevice (Upper) 8213c250 /DRIVER/VERIFIER
AttachedTo (Lower) 8213c820 /DRIVER/VERIFIER
Device queue is not busy.


如果设备是一个pnp设备对象(FDO, PDO, filter, doesn't matter),!devstack显示设备的全部堆栈。

以上参考 http://blogs.msdn.com/doronh/archive/2006/03/15/552301.aspx

dt nt!_IRP 显示IRP数据结构

kd> dt nt!_IRP
   +0x000 Type             : Int2B
   +0x002 Size             : Uint2B
   +0x004 MdlAddress       : Ptr32 _MDL
   +0x008 Flags            : Uint4B
   +0x00c AssociatedIrp    : __unnamed
   +0x010 ThreadListEntry  : _LIST_ENTRY
   +0x018 IoStatus         : _IO_STATUS_BLOCK
   +0x020 RequestorMode    : Char
   +0x021 PendingReturned  : UChar
   +0x022 StackCount       : Char
   +0x023 CurrentLocation  : Char
   +0x024 Cancel           : UChar
   +0x025 CancelIrql       : UChar
   +0x026 ApcEnvironment   : Char
   +0x027 AllocationFlags  : UChar
   +0x028 UserIosb         : Ptr32 _IO_STATUS_BLOCK
   +0x02c UserEvent        : Ptr32 _KEVENT
   +0x030 Overlay          : __unnamed
   +0x038 CancelRoutine    : Ptr32   
   +0x03c UserBuffer       : Ptr32 Void
   +0x040 Tail             : __unnamed

bu driverName!DriverEntry, 其中driverName是驱动的名字,DriverEntry是需要中断的函数名,这样如果驱动运行,就会在DriverEntry处停止。
bp MyDriver!xyz  这个断点设在模块中的一个名字(<module>!<name>);
bp f89adeaa      设置在一个给出的地址
bl 列出所有断点
bc 清除断点 后面参数是这个断点对应的数字

windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4549
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
windbg 查看设备信息
王俊超 专栏
09-05 4862
1. 相关命令 !devobj 查看设备对象信息 !drvobj 查看驱动对象信息 !devstack 查看设备栈 2. 系统设备树 !devnode 0 1 kd> !devnode 0 1 Dumping IopRootDeviceNode (= 0x865b1ee8) DevNode 0x865b1ee8 for PDO 0x865b1020 InstancePath i
windbg常用查看设备command
a3125504x的博客
09-15 797
1.!devnode    显示设备节点 2.!devobj       显示设备对象信息,后面可根据参数决定信息内容 3.!drvobj        显示驱动对象信息 4.!devstack   显示设备对象堆栈 一!devnode !devnode Address [Flags][Service] !devnode 1 !devnode 2 !devnode扩展显示设备树中
77.windbg-!drvobj、.devstack(驱动对象,设备栈,AttachedDevice)
hgy413的专栏
08-10 2296
!drvobj、.devstack(驱动对象,设备栈)演示
windbg中通过文件句柄查找设备(!handle/!fileobj/!devobj命令)
lixiangminghate的专栏
12-18 2408
有时,在驱动程序中会调用ZwCreateFile获得设备句柄,然后保存在设备扩展区域中供其他例程使用。由于驱动程序经常被动调用----执行的上下文可能不是同一个线程----会获得错误的句柄。那么是否存在某些调试命令供我们在开发阶段判断所用句柄正是某个设备的句柄?强大的windbg提供了!handle/!fileobj/!devobj这些扩展命令来实现这个目的(注意这些命令要正确设置调试符号的路径)
Windbg内核调试之三: 调试驱动
mergerly的专栏
09-26 2817
这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分钟的系统响应.有关双机调试的基本设置,请参考:htt
windbg !drvobj扩展命令失效时...
lixiangminghate的专栏
06-12 799
如题,当"!drvobj"命令失效时怎么办?调试ddk sample:wdffeatrued驱动时遇到这个问题,现象如下:kd&gt; lml start end module name 8201e000 82082000 hal (private pdb symbols) D:\symbols\win10Rs2x86\halmacpi.pdb\4E9BD9...
WinDBG --win10
12-19
X64 Debuggers And Tools-x64_en-us.msi
wdbgark:WinDBG Anti-RootKit扩展
02-06
WinDBG Anti-RootKit扩展 前言 是的扩展(动态库)。 它的主要目的是使用内核调试器查看和分析Windows内核中的异常。 可以查看各种系统回调,系统表,对象类型等。 对于更用户友好的视图扩展,请使用DML。 对于...
[微软工具] 基于WinDbg的内存泄漏分析 - 比较复杂情况下调试
08-13
本篇将详细探讨如何利用微软提供的工具,尤其是WinDbg,来分析和定位复杂的内存泄漏问题。 WinDbg是一款强大的调试工具,由微软开发,适用于Windows操作系统。它提供了丰富的命令集和可视化界面,使得开发者能够...
VS2012编windbg插件-大神必备
07-13
在Visual Studio 2012环境下开发Windows调试器(WinDbg)扩展插件是一项专业技能,该插件允许开发者在调试过程中利用自定义命令来简化和增强调试过程。WinDbg是由Windows驱动程序工具包(Windows Driver Kit,WDK)...
windgb - !analyze -v 字段解析
tuan8888888的博客
01-26 1046
字段解析 FAULTING_IP: 显示错误时的指令指针 ,IP(Instruction Pointer):指令指针寄存器 FAULTING_IP: ntdll!PropertyLengthAsVariant+73 77f97704 cc int 3 EXCEPTION_RECORD: 字段显示此崩溃的异常记录,还可以使用. .exr (显示异常记录)命令来查看此信息。 EXCEPTION_RECORD: ffffffff -- (.exr fff...
windbg抓一个windows蓝屏分析
热门推荐
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
01-30 1万+
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
[知识小节]Windbg常用指令(笔记本)
网络安全知识分享
03-12 2802
Windbg常用指令(持续更新)1、!drvobj2、dt _DRIVER_OBJECT 地址3、 bp 设定调试断点4、P5、U6、R7、D8、 lmf9、 lmf!address eax10、 vertarget11、 !peb12、 lmvm13、 E14、 k15、 X 1、!drvobj !drvobj 扩展命令显示DRIVER_OBJECT的详细信息。 语法 !drvobj DriverObject [Flags] 参数 DriverObject 指定驱动对象。可以是DRIVER_OB
windbg查看设备栈设备树学习总结
bcbobo21cn的专栏
06-29 3448
windbg寻找设备树根节点 http://blog.youkuaiyun.com/lixiangminghate/article/details/51729945     用ReactOS上明确说过,Pnp管理器对每种设备都会创建一个虚拟root device用于构建设备树;同时这个新创建的root device又作为一个设备栈的栈底,往上形成完整的设备栈。用windbg调试时,可以看到这个虚
Windows对象 (Object) 结构
sqqsongqiqi的专栏
01-09 2404
有一篇介绍 《Windows对象 (Object) 结构》的文章 因为有太多的转载信息 不知道真实的出处了。 原文作者看到的话给了连接 我直接链接过去。 Windows系统的各种资源以对象(Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager
WinDBG常用调试命令
CharlesPrince的专栏
08-06 2008
 .    查询符号 kd> x nt!KeServiceDescriptorTable*8046e100 nt!KeServiceDescriptorTableShadow = 8046e0c0 nt!KeServiceDescriptorTable =  kd> ln 8046e100(8046e100)   nt!KeServiceDescriptorTableShadow   | (804
WinDbg内核调试常用命令
weixin_34221036的博客
06-29 609
查看所有驱动和设备名 lm !object \ 查看根目录 !object \device 查看所有设备名 dt _DEVICE_OBJECT XXXX 查看设备对象内容 !devobj XXXX 查看设备对象内容 !object \Driver 查看所有驱动名 dt _DRIVER_OBJECT XXXX 查看驱动对象内容 !drvobj XXXX 查看设备对象内容 !devnode ...
windbg分析蓝屏
最新发布
02-09
### 使用 WinDbg 分析蓝屏 dump 文件 #### 安装并配置 WinDbg 首先,需安装适用于 Windows 的调试工具包,其中包含了 WinDbg 调试器。可以从微软官方网站获取最新版本的 Windows SDK 和驱动开发套件 (WDK),这些软件包中均包含 WinDbg。 完成安装之后,启动 WinDbg 并设置符号文件路径以便于解析系统组件名称。这一步骤至关重要,因为符号文件能帮助识别具体的函数名和变量位置,从而更容易理解崩溃现场的情况[^2]。 ```plaintext .sympath SRV*c:\symbols*http://msdl.microsoft.com/download/symbols .reload /f ``` 上述命令设置了本地缓存目录 `c:\symbols` 同时指定了 Microsoft 符号服务器作为远程源。`.reload /f` 则强制重新加载所有模块及其对应的符号表。 #### 打开 Dump 文件 通过菜单栏中的 "File -> Open Crash Dump..." 或者快捷键 Ctrl+D 导入之前收集到的内存转储 (.dmp) 文件。一旦成功载入,WinDbg 将尝试读取并解释此文件的内容。 #### 进行基本分析 输入以下命令让 WinDbg 自动化地对当前上下文做出评估: ```plaintext !analyze -v ``` 这条指令会触发详细的故障诊断过程,并给出关于此次崩溃事件尽可能详尽的信息,包括但不限于引发异常的具体进程、线程状态以及可能存在的根本原因等[^3]。 如果初次运行未能提供足够的线索,则可以根据提示继续深入调查其他方面;比如检查设备驱动程序的状态(`!drvobj`)、堆栈跟踪(`kb`)或是特定 API 的行为模式等等。 #### 解决由 usbhub.sys 引起的问题 针对提到的由于 USB 驱动 (`usbhub.sys`) 所致的蓝屏情况,在获得以上基本信息的基础上,还可以特别关注与此有关的日志条目或警告信号。有时更新硬件固件或者是回滚至稳定版的操作系统补丁也能解决问题所在[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值