WinDbg学习笔记十一 - 内核调试常用命令5 - 对象相关

最新推荐文章于 2021-07-19 21:37:18 发布
原创 最新推荐文章于 2021-07-19 21:37:18 发布 · 516 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了操作系统中句柄和对象的概念及其管理方式。句柄作为对象的上层抽象,允许不同进程持有相同对象的不同句柄。文章还详细解释了如何使用特定命令来查看句柄和对象的信息。

在系统中存在着各种各样的对象,所有资源都是以对象的形式存在的,比如文件对象,进程对象,线程对象。而大多数内核函数都会和对象管理器打交道。

句柄是对象的上层的抽象,不同的句柄可以表示同一个对象,不同的进程可以有值相同的句柄。由句柄可以得到对象,由对象也可以生成一个句柄出来。跟对象相关的命令主要有handle, object。


!handle: 主要用于显示句柄的信息,比如类型,名称等。可以指定特定句柄的信息,如果不指定或者值是0,则会显示当前进程里所有的句柄信息。




可以指定特定进程中的句柄信息。



!object: 显示对象的信息。 

!object xxxx, xxxx表示对象的地址。







windbg练习,连带发现win7的对象管理ObjectHeader有改变
colaftc的专栏
03-08 647
近日无聊,打开在vmware下搞了个win7 sp1捣鼓一番。按照习惯先查看pspcidtable,发现NextHandleNeedingPool是0x1000,也就是说已经有1级表了。由于这个win7是纯净版的,新装状态下就已经有这么多的cid了,在干净xp和2003上,几乎都是只有0级表的,故顿时感觉win7真是耗不少的资源。        随便找个进程看看,用!process确定了
WinDbg学习笔记- 内核调试常用命令1 - 查看目标机
imJaron的博客
11-14 1484
WinDbg提供了很多的命令来查看被调试对象的信息,将分别介绍以下的命令vertarget, dg, !cpuinfo, !pcr, !prcb, !idt, !running。 vertarget: 查看目标机的基本信息,例如系统的版本,内核基址等等。 !cpuinfo: 显示CPU信息 !dg: 显示选择子的详细信息。 !pcr: 显
使用windbg查看DependencyObject的属性
IRIS88888的博客
11-16 325
这里以WPF作为探测用的例子,简单一些,看看Title的值是什么样子。(之所以写这个,因为不是简单的一个!do就能看到东西的,中间要绕两下,这也涉及到了DependencyObject的实现机制及数据的存储机制) 首先用VS新建一个WPF工程,在XAML中我们修改一下Title属性和Background属性,运行,得到界面如下(我故意缩小了窗口宽度以及高度) 那么,Titl...
使用WinDBG + SOS谈对象大小及字符串的结构
weixin_34341117的博客
12-01 136
昨天我们使用了一个最最简单的小实验,来检查相同类型的不同对象大小是否相同。当然,我们很轻易地“验证”得出,不同长度的字符串大小是不一样的。不过这种表面现象其实很难说明问题,因此我现在还是用WinDBG + SOS来进行一些检查,希望可以得到一些表面上看不出来的信息。 准备工作 首先,您需要先去下载并安装WinDBG(不过,其实它是纯绿色的)。我的机器是32位系统,如果您使用64位的机器进行实验...
Windows对象 (Object) 结构
weixin_34389926的博客
07-26 277
Windows系统的各种资源以对象Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体(Object Body)。Windows XP中有31种不同类型的对象Object Body反映了某一类...
垃圾回收(二)【Windows 系统上的大型对象堆】
极客神殿
01-07 785
Windows 系统上的大型对象堆 .NET 垃圾回收器 (GC) 将对象分为小型和大型对象。 如果是大型对象,它的某些特性将比对象较小时显得更为重要。 例如,压缩大型对象(也就是在内存中将其复制到堆上的其他地方)的费用相当高。 因此,.NET 垃圾回收器将大型对象放置在大型对象堆 (LOH) 上。 在本主题中,我们将深度探讨大型对象堆。 我们将讨论符合什么条件的对象才能称之为大型对象,如何回收...
WinDbg学习笔记- 内核调试配置
imJaron的博客
11-07 979
内核调试可以分为三种情况: 本机内核调试,双机内核调试 - 真机双机内核调试,虚拟机双机内核调试。本篇将介绍本机内核调试以及虚拟机内核调试的配置。 本机内核调试配置: 本机内核调试功能比较单一,只能读写内存,没有基本的单步断点等功能, 可以主要用来查看系统内核信息。目前主要是通过WinDbg自带的kldbgdrv.sys驱动调用nt!KdSystemDebugControl函数来提供支
WinDbg调试技术详解与内核调试教程
WinDbg 是微软推出的一款功能强大且高度专业的调试工具,广泛应用于 Windows 操作系统内核调试、驱动程序开发调试、应用程序崩溃分析(dump 文件分析)、蓝屏死机(BSOD)排查以及底层系统问题的诊断。从所提供的...
内核学习-双机调试环境搭建
weixin_45880501的博客
07-19 507
内核学习-双机调试环境搭建 最近在学习windows内核,记录下自己搭建双机调试的坑点 使用win10 +Windows XP Professionalnxp xp虚拟机配置部分 打开xp虚拟机, 进入C盘根目录,工具,文件夹选项下,取消勾选隐私受保护的系统文件,勾选显示所有文件或文件夹。 显示出隐藏属性的文件,打开boot.ini文件 添加下面这段内容 multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="debug" /noexecute=optin /fastd
精选资源
火哥6期windows内核学习笔记
最新发布
10-18
《火哥6期windows内核学习笔记》主要围绕Windows内核与游戏过保护技术的学习和应用,详细记录了在Windows环境下进行内核调试与保护模式下的调试技术,同时涵盖了双机调试的方法以及使用windbg工具和符号表加载等相关...
CLR 全面透彻解析--大型对象堆揭秘
牛牛的小窝
06-28 1106
CLR 垃圾回收器 (GC) 将对象分为大型、小型两类。如果是大型对象,与其相关的一些属性将比对象较小时显得更为重要。例如,压缩大型对象(将内存复制到堆上的其他位置)的费用相当高。在本月的专栏中,我将深入探讨大型对象堆。我将讨论符合什么条件的对象才能称之为大型对象,如何回收这些大型对象,以及大型对象具备哪些性能意义。大型对象堆和 GC在 Microsoft® .NET Framewor
WinDBG常用调试命令
CharlesPrince的专栏
08-06 2039
 .    查询符号 kd> x nt!KeServiceDescriptorTable*8046e100 nt!KeServiceDescriptorTableShadow = 8046e0c0 nt!KeServiceDescriptorTable =  kd> ln 8046e100(8046e100)   nt!KeServiceDescriptorTableShadow   | (804
[知识小节]Windbg常用指令(笔记本)
网络安全知识分享
03-12 2881
Windbg常用指令(持续更新)1、!drvobj2、dt _DRIVER_OBJECT 地址3、 bp 设定调试断点4、P5、U6、R7、D8、 lmf9、 lmf!address eax10、 vertarget11、 !peb12、 lmvm13、 E14、 k15、 X 1、!drvobj !drvobj 扩展命令显示DRIVER_OBJECT的详细信息。 语法 !drvobj DriverObject [Flags] 参数 DriverObject 指定驱动对象。可以是DRIVER_OB
WinDbg内核调试常用命令
weixin_34221036的博客
06-29 651
查看所有驱动和设备名 lm !object \ 查看根目录 !object \device 查看所有设备名 dt _DEVICE_OBJECT XXXX 查看设备对象内容 !devobj XXXX 查看设备对象内容 !object \Driver 查看所有驱动名 dt _DRIVER_OBJECT XXXX 查看驱动对象内容 !drvobj XXXX 查看设备对象内容 !devnode ...
windbg 驱动对象命令
weixin_34240520的博客
04-10 356
 !devnode \DEVICE\{A4F74E3A-7A5D-4BFA-8B76-AC26F16DE201}Dumping IopRootDeviceNode (= 0x81ebdce0)DevNode 0x81ebdce0 for PDO 0x81ebde18  Parent 0000000000   Sibling 0000000000   Child 0x81ebd840  Instan...
WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册
aijianxie8808的博客
02-06 531
本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载。 系列博文 《WinDbg 命令三部曲:(一)WinDbg 命令手册》 《WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册》 《WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册》 导航目录 扩展加载命令 对象审查命令 数据结...
windbg中通过文件句柄查找设备(!handle/!fileobj/!devobj命令)
lixiangminghate的专栏
12-18 2478
有时,在驱动程序中会调用ZwCreateFile获得设备句柄,然后保存在设备扩展区域中供其他例程使用。由于驱动程序经常被动调用----执行的上下文可能不是同一个线程----会获得错误的句柄。那么是否存在某些调试命令供我们在开发阶段判断所用句柄正是某个设备的句柄?强大的windbg提供了!handle/!fileobj/!devobj这些扩展命令来实现这个目的(注意这些命令要正确设置调试符号的路径)
windbg常用的查看命令
ShadowAssassin的专栏
09-05 1642
1、dt  查看结构内容    dt + 结构体名称   或者 dt + 结构体名称 + 地址 kd> dt _object_header nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Ptr32 Void
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值