KdEnteredDebugger变量的定位

最新推荐文章于 2021-10-14 02:48:05 发布
原创 最新推荐文章于 2021-10-14 02:48:05 发布 · 673 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何在源文件中定义KdEnteredDebugger变量,并通过代码示例展示了如何打印该变量的地址。这对于理解内核调试环境和进行相关开发工作具有一定的指导意义。

仿照 KdDebuggerNotPresent变量的定义,在自己的源文件中添加下面两句来定义KdEnteredDebugger变量
*extern PBOOLEAN KdEnteredDebugger;
#define KD_ENTERED_DEBUGGER KdEnteredDebugger
如下面的代码就是打印KdEnteredDebugger变量的地址
#include<NTDDK.H>

extern PBOOLEAN KdEnteredDebugger;

#define KD_ENTERED_DEBUGGER *KdEnteredDebugger

//查找KdEnteredDebugger地址
VOID UnloadDriver(PDRIVER_OBJECT driver)
{
UNREFERENCED_PARAMETER(driver);
DbgPrint(“驱动卸载!!!!!”);
}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING RegistryPath)
{
NTSTATUS status=STATUS_SUCCESS;
UNICODE_STRING func;
PVOID addr = 0;
UNREFERENCED_PARAMETER(RegistryPath);
RtlInitUnicodeString(&func, L"IoAllocateMdl");
addr = MmGetSystemRoutineAddress(&func);
DbgPrint(“IoAllocateMdl的地址:%llx\n”,addr);
DbgPrint(“KdEnteredDebugger的地址:%llx\n”, KdEnteredDebugger);
driver->DriverUnload = UnloadDriver;

return status;

}
执行结果如下图:
在这里插入图片描述

Java 并发编程:线程变量 ThreadLocal
栗筝i的博客
08-10 5057
即线程变量,是 Java 提供的用于实现线程本地变量的工具类。每个线程可以通过对象访问其专属的变量,避免了多线程环境下变量共享导致的数据不一致问题。通常情况下,我们创建的成员变量都是线程不安全的。因为他可能被多个线程同时修改,此变量对于多个线程之间彼此并不独立,是共享变量。而中填充的变量属于当前线程,该变量对其他线程而言是隔离的。Ps:ThreadLocal 很容易让人望文生义,想当然地认为是一个 “本地线程”。其实,
反调试 - r3 使用 NtQuerySystemInformation 获取 KdKdDebuggerEnable 和 KdDebuggerNotPresent
墨鱼菜鸡
07-14 488
原理 NtQuerySystemInformation 被 ntdll.dll 导出,当第一个参数传入 0x23 (SystemInterruptInformation) 时,会返回一个 SYSTEM_KERNEL_DE...
过某P之KdEnteredDebugger检测
08-24 1876
某p在双机调试时,会检测KdEnteredDebugger是否等于1,如果等于1就重启。 我们的办法是让检测永远检测到0。经过分析,当位置为KdEnteredDebugger+0x20时值是0。我们可以修改指向。只要inline hook IoAllocateMdl 即可 PMDL MyIoAllocateMdl( __in_opt PVOID VirtualAddress, __in...
读书笔记_windows内核调试_part 2_内核对话过程
wodamazi
10-14 151
内核对话 Windows启动内核调试后,主要做了以下几个工作 1. 建立连接 2. 调试器读取目标系统信息,初始化调试引擎(目标机)。 3. 内核调试引擎通过状态变化信息包通知调试器加载初始模块的调试符号(目标机)。 4. 调试器端发送中断包,将目标系统中断到调试器,交互调试后又恢复执行的过程。 5. 因断点命中,目标系统中断到调试器的过程。 6. 内核中的模块输出调试字符串(Dbg...
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1562
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
记录一下对TP的研究
kingswb的博客
04-19 4688
参考  http://bbs.pediy.com/showthread.php?t=196149 非常好的一篇分析贴 本文在Win7 x86下的分析 在虚拟机中以/DEBUG模式启动TP游戏,系统会自动重启。   根据软件调试第十八章,windows启动过程中会调用两次KdInitSystem()函数 第一次调用KdInitSystem分别会初始化如下变量
TIA博途软件中如何查询变量的交叉引用信息以及快捷键的使用?.docx
最新发布
06-04
在TIA博途软件中,查询变量的交叉引用信息是一项非常实用的功能,可以帮助工程师快速定位变量在不同程序块中的使用情况,从而提高程序的可维护性和调试效率。 **步骤一:** 打开需要查询的程序或项目。假设我们想要...
KUKA系统变量英文版Google翻译过后的中文文档(KSS 8.1, 8.2, 8.3)
11-21
例如,通过$AXIS_INT,用户可以设定内部轴的参数,这在实现复杂运动路径或者精确定位时非常有用。而$ANOUT 变量则可用于控制机器人对外部设备的信号输出,实现与其他自动化设备的交互。 在工业4.0的背景下,KUKA...
引力不变量曲线坐标系及在定位导航上的应用.docx
09-20
仿真结果显示,基于引力不变量曲线坐标系的定位导航方法能够有效地恢复点位坐标,证明了这种方法的可行性。 在重力辅助导航领域,利用重力场数据进行定位和导航具有重要的理论和实践意义。它不仅能够拓宽重力场的...
WPF数据绑定:将一个变量绑定到一个控件,控件内容随变量的变化而变化
11-01
WPF的数据绑定功能非常强大,在控件中使用数据绑定功能会为你节省大量的处理...本示例中,将一个变量绑定到一个控件上,在代码中改变变量值,并立刻引起控件值的变化。此代码经过删减,仅仅保留精简内容,一看就懂。
TP保护的研究和学习-内核调试探索篇(一)
星空漫步者
04-23 1993
TP保护的研究和学习-内核调试探索篇(一) 引言: ​ 本篇系列旨在研究学习腾讯保护系统的保护方案实现,文中尽量以“发现问题然后尝试解决问题”的模式来处理遇到的问题,此前网上有太多相关的资料都只是给出了一个结论式答案或者方法,对于想要深入学习的人太不友好。 我相信有很多人和我一样在尝试去深入分析的时候遇到了各种问题,我的处理方式就是遇到实际问题实际分析的方式来推进学习; ​ 计算机理论到现在为止已...
内核调试相关变量说明
weixin_34332905的博客
12-27 265
KdInitSystem 函数让内核调试引擎初始化 KiDebugRoutine 当系统分发异常时会调用KiDebugRoutine变量所指向的函数 KiDebugRoutine写入函数地址KdpStub(禁止调试) /KdpTrap(开启调试) KeUpdateRunTime 系统的时间更新函数 KdCheckForDebugB...
DbgPrint 函数流程分析
weixin_33895657的博客
01-20 681
DbgPrint 函数流程分析 前言 Windows 下编写内核驱动时经常用到 DbgPrint 函数输出一些调试信息,用来辅助调试。当正在用 WinDbg 内核调试时,调试信息会输出到 WinDbg 中。或者利用一些辅助工具也能看到输出的调试信息,比如 Sysinternals公司的 DebugView 工具。本文分析了 Vista 系统上 DbgPrint 系列函...
Windows内核调试器原理浅析
01-05 1479
前段时间忽然对内核调试器实现原来发生了兴趣,于是简单分析了一下当前windows下主流内核调试器原理,并模仿原理自己也写了个极其简单的调试器:)  WinDBG  WinDBG和用户调试器一点很大不同是内核调试器在一台机器上启动,通过串口调试另一个相联系的以Debug方式启动的系统,这个系统可以是虚拟机上的系统,也可以是另一台机器上的系统(这只是微软推荐和实现的方法,其实象SoftICE这类内核调
内核调试学习笔记
zfdyq
12-17 2384
内核调试学习笔记  第一次调用KdInitSystem会初始化一下全局变量:   1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。 2.KdDeBuggerEnable:布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或者/DEBUGPORT 而且不包含/NODEBUG时,这个变量会被设
【模仿】对双机调试的学习
kingswb的博客
05-11 1989
首先要谢谢 zfdyq我是看了他的帖子还有代码一步步验证过来的。 当然在调试的过程中间出了很多问题,但是都一个个解决了,收获还是蛮多的。 我的大体思路都是跟着zfdyq来的,就是关于kdptrap这一块在代码里面没有看到(是我太笨了,没能领略其它的奥妙),我用搜索栈的方法改变这个值。其他地方可以说基本没做多少变动,不要打我,我太懒了,回头研究内核重载时候一定自己写代码。。。。 我还是
某驱动的内核调试检测学习内核调试引擎加载机制
04-08 1732
标 题: 【原创】某驱动的内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
记录下过*P的内核调试(蓝屏 无法显示进程)的问题
allenwangdiy的博客
03-23 1226
根据软件调试书上所说,windows启动过程中系统需要调用两次 KdInitSystem()函数。 第一次调用KdInitSystem()的时候会初始化一些全局变量包括: 1,KdPitchDebugger : 布尔类型,用来表示是否抑制内核调试。当启动选项中包含/DEBUG选项的时候,这个变量会       被置为假。 2,KdDeBuggerEnabled: 布尔类型,用来表示内核调试是
Windows系统环境变量详解
这些变量帮助程序和用户快速定位系统文件、用户数据以及应用程序设置。以下是对给定文件中提到的几个重要Windows系统目录变量的详细解释: 1. **%systemdrive%**: 这个变量表示操作系统安装的主分区,通常为C盘。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值