windbg
关注
分享
扫一扫
dd好好学习
这个作者很懒,什么都没留下…
展开
-
WindbgPreview虚拟机双机内核调试
#Windbg虚拟机双机内核调试 做内核调试时,我们经常使用到windbg的虚拟机双机调试,所以这里记录一下配置双机调试的过程,方便查询。另外,微软提供了一个windbgpreview 工具,算是windbg的升级版本,ui更好看了,并且把x86和 x64合在了一起,还不需要管理员权限运行。比较方便。首先选择连接方式,用虚拟机只有一种串口方式,通过虚拟机模拟的串口输出到主机上的命名管道,...原创 2018-09-07 13:14:42 · 2517 阅读 · 0 评论 -
提权调用门 ret返回测试
kd> p001b:00c91874 ff5dfa call fword ptr [ebp-6]kd> reax=00000001 ebx=7ffd6000 ecx=0012f9ec edx=778570b4 esi=0012f9f8 edi=0012fb18eip=00c91874 esp=0012f9e0 ebp=0012f9f0 iopl=0 ...原创 2018-09-10 22:16:55 · 621 阅读 · 0 评论 -
调试器无法正常中断 IE8
这两天分析 cve-2011-0027 的时候,一直遇到一个问题,windbg 或者 od没有办法正常中断 ie8。什么意思呢?就是我用调试器附加了进程。当进程遇到异常时会弹出下面的窗口:这就很奇葩了, 调试器:我都附加你了,为啥你遇到异常不告诉我呢?!!我也不明白。找了挺久的原因,终于找到了。IE8的一个重要特性就是每个Tab 页在独立的进程中运行,我们称之为LCIE (Loose...原创 2018-10-11 10:15:59 · 489 阅读 · 0 评论 -
WinDbg 调试 Edge
我们用windbg 在 user model 下调试程序时, 经常是直接 file->attach to a process 这样附加到一个进程上。但是我在调试 edge 时遇到两个问题:edge 有许多进程,要附加到哪个上?edge 是 Universal Windows Platform (UWP) app , 官方文档上说:A UWP app will not be sus...原创 2018-10-17 10:48:42 · 1205 阅读 · 2 评论 -
Windows下pdb符号文件找不到的问题
在windows下用windbg调试时,符号文件是很重要的。没有符号文件就先废掉了windbg的一半功力。对于window xp 的系统,微软官方已经不再提供符号文件了,所以只能自己下载离线符号文件包用了。可以在网上找一找,如果找不到,可以去我的csdn 下载资源里。对于windows 7系统,微软虽然提供符号文件(在线符号服务器),但是有时因为某些文件版本过老的问题,会出现找不到符号文件的情...原创 2018-11-10 23:57:17 · 1132 阅读 · 0 评论 -
windbg 调试堆时 遇到调试堆 baadfood feeefeee 关闭方法
用windbg 调试堆时,遇到了一些问题。我发现堆的末尾都是以 8ab + 800 结尾的。而且删除的堆内容被填充为 feeefeee , 而那些新申请没有初始化的堆,则被填充为 baadfood 。这是因为系统检测到了调试器,堆管理器自动使用了调试堆。即便你使用attach 也是一样的。查了一下,一些人用了和0day安全一样的方法,就是在程序中加 int 3 断点,然后在堆完成初始化后进...原创 2018-11-22 10:57:42 · 449 阅读 · 0 评论