WinDbg学习笔记十一 - 内核调试常用命令5 - 对象相关

最新推荐文章于 2022-03-12 14:26:21 发布
原创 最新推荐文章于 2022-03-12 14:26:21 发布 · 491 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了操作系统中句柄和对象的概念及其管理方式。句柄作为对象的上层抽象,允许不同进程持有相同对象的不同句柄。文章还详细解释了如何使用特定命令来查看句柄和对象的信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在系统中存在着各种各样的对象,所有资源都是以对象的形式存在的,比如文件对象,进程对象,线程对象。而大多数内核函数都会和对象管理器打交道。

句柄是对象的上层的抽象,不同的句柄可以表示同一个对象,不同的进程可以有值相同的句柄。由句柄可以得到对象,由对象也可以生成一个句柄出来。跟对象相关的命令主要有handle, object。


!handle: 主要用于显示句柄的信息,比如类型,名称等。可以指定特定句柄的信息,如果不指定或者值是0,则会显示当前进程里所有的句柄信息。




可以指定特定进程中的句柄信息。



!object: 显示对象的信息。 

!object xxxx, xxxx表示对象的地址。







windbg练习,连带发现win7的对象管理ObjectHeader有改变
colaftc的专栏
03-08 626
近日无聊,打开在vmware下搞了个win7 sp1捣鼓一番。按照习惯先查看pspcidtable,发现NextHandleNeedingPool是0x1000,也就是说已经有1级表了。由于这个win7是纯净版的,新装状态下就已经有这么多的cid了,在干净xp和2003上,几乎都是只有0级表的,故顿时感觉win7真是耗不少的资源。        随便找个进程看看,用!process确定了
使用windbg查看DependencyObject的属性
IRIS88888的博客
11-16 304
这里以WPF作为探测用的例子,简单一些,看看Title的值是什么样子。(之所以写这个,因为不是简单的一个!do就能看到东西的,中间要绕两下,这也涉及到了DependencyObject的实现机制及数据的存储机制) 首先用VS新建一个WPF工程,在XAML中我们修改一下Title属性和Background属性,运行,得到界面如下(我故意缩小了窗口宽度以及高度) 那么,Titl...
使用WinDBG + SOS谈对象大小及字符串的结构
weixin_34341117的博客
12-01 123
昨天我们使用了一个最最简单的小实验,来检查相同类型的不同对象大小是否相同。当然,我们很轻易地“验证”得出,不同长度的字符串大小是不一样的。不过这种表面现象其实很难说明问题,因此我现在还是用WinDBG + SOS来进行一些检查,希望可以得到一些表面上看不出来的信息。 准备工作 首先,您需要先去下载并安装WinDBG(不过,其实它是纯绿色的)。我的机器是32位系统,如果您使用64位的机器进行实验...
Windows对象 (Object) 结构
weixin_34389926的博客
07-26 254
Windows系统的各种资源以对象Object)的形式来组织,例如File Object, Driver Object, Device Object等等,但实际上这些所谓的“对象”在系统的对象管理器(Object Manager)看来只是完整对象的一个部分——对象实体(Object Body)。Windows XP中有31种不同类型的对象Object Body反映了某一类...
垃圾回收(二)【Windows 系统上的大型对象堆】
极客神殿
01-07 746
Windows 系统上的大型对象堆 .NET 垃圾回收器 (GC) 将对象分为小型和大型对象。 如果是大型对象,它的某些特性将比对象较小时显得更为重要。 例如,压缩大型对象(也就是在内存中将其复制到堆上的其他地方)的费用相当高。 因此,.NET 垃圾回收器将大型对象放置在大型对象堆 (LOH) 上。 在本主题中,我们将深度探讨大型对象堆。 我们将讨论符合什么条件的对象才能称之为大型对象,如何回收...
WinDbg学习笔记- 内核调试常用命令1 - 查看目标机
imJaron的博客
11-14 1438
WinDbg提供了很多的命令来查看被调试对象的信息,将分别介绍以下的命令vertarget, dg, !cpuinfo, !pcr, !prcb, !idt, !running。 vertarget: 查看目标机的基本信息,例如系统的版本,内核基址等等。 !cpuinfo: 显示CPU信息 !dg: 显示选择子的详细信息。 !pcr: 显
WinDbg学习笔记- 内核调试配置
imJaron的博客
11-07 935
内核调试可以分为三种情况: 本机内核调试,双机内核调试 - 真机双机内核调试,虚拟机双机内核调试。本篇将介绍本机内核调试以及虚拟机内核调试的配置。 本机内核调试配置: 本机内核调试功能比较单一,只能读写内存,没有基本的单步断点等功能, 可以主要用来查看系统内核信息。目前主要是通过WinDbg自带的kldbgdrv.sys驱动调用nt!KdSystemDebugControl函数来提供支
搭建Windbg和Hyper-V第二代虚拟机,双机调试内核环境
赫的BLOG
09-20 4418
VMware太重了,4G内存笔记本跑起来好吃力,我的另外一台E3+16G电脑,装上VMware开机速度变得很慢,于是研究下,用windows原生的虚拟机配合Windbg双机调试 系统最低win10,记得开启bios上的虚拟化支持 第一步: 首先需要安装Windbg运行环境,访问visualstudio.com 下载最新版的VisualStudio,如果你是学习和个人研究用途,就使用社区版吧,
火哥6期windows内核学习笔记
最新发布
10-18
《火哥6期windows内核学习笔记》主要围绕Windows内核与游戏过保护技术的学习和应用,详细记录了在Windows环境下进行内核调试与保护模式下的调试技术,同时涵盖了双机调试的方法以及使用windbg工具和符号表加载等相关...
windbg-order.rar_windbg
09-20
本压缩包“windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档“windbg order.doc”将详细介绍一些常用的Windbg命令,帮助你快速掌握这款神器的基本操作。 一、基本概念 Windbg是...
CLR 全面透彻解析--大型对象堆揭秘
牛牛的小窝
06-28 1084
CLR 垃圾回收器 (GC) 将对象分为大型、小型两类。如果是大型对象,与其相关的一些属性将比对象较小时显得更为重要。例如,压缩大型对象(将内存复制到堆上的其他位置)的费用相当高。在本月的专栏中,我将深入探讨大型对象堆。我将讨论符合什么条件的对象才能称之为大型对象,如何回收这些大型对象,以及大型对象具备哪些性能意义。大型对象堆和 GC在 Microsoft® .NET Framewor
WinDBG常用调试命令
CharlesPrince的专栏
08-06 2019
 .    查询符号 kd> x nt!KeServiceDescriptorTable*8046e100 nt!KeServiceDescriptorTableShadow = 8046e0c0 nt!KeServiceDescriptorTable =  kd> ln 8046e100(8046e100)   nt!KeServiceDescriptorTableShadow   | (804
[知识小节]Windbg常用指令(笔记本)
网络安全知识分享
03-12 2831
Windbg常用指令(持续更新)1、!drvobj2、dt _DRIVER_OBJECT 地址3、 bp 设定调试断点4、P5、U6、R7、D8、 lmf9、 lmf!address eax10、 vertarget11、 !peb12、 lmvm13、 E14、 k15、 X 1、!drvobj !drvobj 扩展命令显示DRIVER_OBJECT的详细信息。 语法 !drvobj DriverObject [Flags] 参数 DriverObject 指定驱动对象。可以是DRIVER_OB
WinDbg内核调试常用命令
weixin_34221036的博客
06-29 627
查看所有驱动和设备名 lm !object \ 查看根目录 !object \device 查看所有设备名 dt _DEVICE_OBJECT XXXX 查看设备对象内容 !devobj XXXX 查看设备对象内容 !object \Driver 查看所有驱动名 dt _DRIVER_OBJECT XXXX 查看驱动对象内容 !drvobj XXXX 查看设备对象内容 !devnode ...
windbg 驱动对象命令
weixin_34240520的博客
04-10 341
 !devnode \DEVICE\{A4F74E3A-7A5D-4BFA-8B76-AC26F16DE201}Dumping IopRootDeviceNode (= 0x81ebdce0)DevNode 0x81ebdce0 for PDO 0x81ebde18  Parent 0000000000   Sibling 0000000000   Child 0x81ebd840  Instan...
windbg常用的查看命令
ShadowAssassin的专栏
09-05 1591
1、dt  查看结构内容    dt + 结构体名称   或者 dt + 结构体名称 + 地址 kd> dt _object_header nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Ptr32 Void
【WIN】WinDBG 常用命令整理
此地无银
03-12 2841
windbg的命令整理
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1346
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5592
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值