Windbg_16-内核常见的结构

最新推荐文章于 2020-09-25 14:33:16 发布
原创 最新推荐文章于 2020-09-25 14:33:16 发布
· 385 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Windbg使用 #windos #软件调试

  1. 内核常见结构:

    • SSDT

    • EPROCESS

    • ETHREAD

1.1:SSDT

  • 在Windows内核层有一个SSDT(系统服务描述表)。SSDT表中存储的是很多函数的地址。

  • 应用层调用的API函数实际大部分都是一个空壳,具体的功能基本都是由内核层实现的。

  • 用户层的API函数最终都会通过一条汇编指令进入内核层,进入内核层首先要做的就是在SSDT

    表中找到相应的函数并调用它。

1.2:EPROCESS与ETHREAD

  • 进程和线程是操作系统中最重要的概念。
  • 每一个进程在内核层都对应着一个EPROCESS结构。
  • 每一个线程在内核层也对应着一个ETHREAD结构。
  • 这两种结构中存放了大量的进程和线程相关信息,并且微软提供了两个结构的符号供大家查看。

1.3:使用实例:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

WinDBG调试线程
Diomedes's Place
12-20 4138
WinDBG调试线程,理解线程内部机制。初学WinDBG,参考一些文章进行简单的线程调试。 参考资料:http://bbs.pediy.com/showthread.php?p=791936 准备工作:运行被调试程序,!analyze -v分析程序,kb查看堆栈(函数执行流程)。 步骤总结:线程状态下断点,通过堆栈查看函数执行流程,查看函数反汇编代码理解内核工作流程。 个人经验:通
Vxworks学习(四)_内核
weixin_45666146的博客
04-13 1986
Vxworks学习(四)_内核一、实时内核1.1 实时1.2 微内核1.3 任务调度1.3.1 优先级调度1.4 任务属性1.4.1 任务控制块1.4.2 钩子函数1.4.3 任务状态1.5 内核功能接口1.5.1 任务控制1.6 多任务与函数重入 声明本学习记录为笔者的学习记录笔记,其中大量借鉴了多本已出版书籍与网络资料,并会在文章末尾注明出处,同时笔者无虚拟机镜像。 本文参与于《VxWorks高级程序设计》-李方敏 进行整理。 一、实时内核 1.1 实时 实时表示控制系统能够计时处理系统中发生的要求控制
2.3 常见内核数据结构 : 其他一些常见的数据结构
it技术学习
07-12 702
其他一些常见的数据结构: 1. 对象结构 xp sp3下的对象结构 kd> dt ntkrpamp !_OBJECT_HEADER PointerCount HandleCount NextToFree Type Ptr32 _OBJECT_TYPE NameInfoOffset HandleInfoOffset QuotaInfoOffset Flags ObjectCr
WinDbg学习笔记九 - 内核调试常用命令3 - 线程相关
imJaron的博客
11-15 1465
跟进程类似,WinDbg也提供了一系列查看线程,以及设置线程的命令。 !thread: 显示线程信息,比如ID, 状态,堆栈,以及起始地址等等。 !thread -1可以显示当前线程的信息。 显示指定线程的信息,4C是一个线程ID。 .thread: 设置线程上下文。 不加任何参数,切换回中断时候的线程。
Windows内核-线程
qq_40712959的博客
12-10 561
以下针对WindowsXP 线程三种状态:运行、等待、就绪。 (1)处于运行态的线程存储在KPCR中 (2)处于就绪态和等待态的线程处于另外33个链表中,其中1个是等待链表,32个是就绪链表。(Win7、WIn10 64个)。这些链表使用_KTHREAD(+0x60)追踪线程,即线程在某一时刻,只能属于其中一个圈。(不管是就绪态还是等待态都挂在_KTHREAD(+0x60),即在_KTHREAD中...
使用windbg调试进程线程数据结构
05-13
当学习windows驱动开发的入门者,经常使用windbg调试,进线程在驱动调试中占有很大的比重,初学者阅读这本pdf绝对是有帮助的!
winddk.rar_DDK xp_ddk_winddk_winddk-_xp ddk
09-14
6. 用户模式驱动框架(UMDF)和内核模式驱动框架(KMDF):虽然这两个框架在Windows XP DDK中可能不是重点,但它们在后来的Windows版本中变得非常重要,简化了驱动开发过程。 总之,"winddk.rar_DDK xp_ddk_winddk_...
usb_driver.rar_usb driver windows_usb drv.sys_usb_driver-windo_u
09-20
1. **驱动程序层次结构**:Windows操作系统中的USB驱动程序遵循通用串行总线(USB)驱动堆栈模型,通常包括USB主机控制器驱动、USB设备类驱动和设备特定驱动。USB主机控制器驱动管理硬件,设备类驱动处理通用USB设备...
windows_kernel_development-master源码.zip
09-29
通过研究这些源码,开发者可以学习如何编写驱动程序,理解内核结构,以及如何调试和优化代码。 1. **代码结构**:源码通常分为多个模块,如设备驱动代码、系统服务实现、中断处理程序等。 2. **编程模型**:遵循...
5.1.2600_WindowsXP内核结构_vim_
09-29
《深入剖析Windows XP内核结构:VIM配置与符号文件》 Windows XP是微软公司推出的一款经典操作系统,其内核结构复杂而精妙,对于理解操作系统原理和进行系统级编程至关重要。在这个过程中,VIM编辑器作为一个强大的...
04-ProcessInfo_noise1a9_04-ProcessInfo_windows核心编程_tree6v2_
09-29
综上所述,"04-ProcessInfo"部分的学习将深入到Windows内核的层次,使开发者能够更有效地利用系统资源,编写出高效、稳定的程序。结合源码进行实践,能够极大地提升对Windows系统编程的理解和应用能力。
EThread的线程链表
Sunny_wwc的专栏
06-24 3367
【提示】能加驱动进内核,就没必要弄EXE了,所以我个人觉得没啥实际用途,仅供观看Windows会给每一个进程建立一个EPROCESS结构,给每一个线程建立ETHREAD结构,EPROCESS结构第一个成员是KPROCESS结构ETHREAD结构第一个成员是KTHREAD结构。每个进程的线程的ETHREAD结构都会按下图所示链接起来:<img style="margin: 2px;" title=
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1329
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
VxWorks内核解读-3
redseazhaojianertao的博客
12-23 2533
本篇文章分析Wind内核调度器的设计原理以及其工作流程,设计支持多任务RTOS的关键是设计调度器,Wind内核调度器的目标是保证优先级最高的就绪任务处于运行状态。为了达到这一目的,需要在Wind内核的调度点判断就绪队列中优先级最高的任务是否正在运行,如果不在运行,调度器就会让这个优先级最高的任务抢占正在运行任务的CPU。 保证就绪队列中优先级最高的任务始终占据CPU是Wind内核可抢占的实质
使用WinDbg内核调试
热门推荐
eqera的专栏
11-29 1万+
WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。 本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。 本文将假定开发者熟悉一般WINDOWS操作系统和进程的建立过程。 本文的重点是集成内核模式和用户态模式的图形化调试
WinDBG查看内核数据结构
Diomedes's Place
12-20 2663
查看详细的模块信息:!lmi nt 枚举所有内核数据结构:dt nt!_* 查看数据结构详细信息:dt nt!_xxx // !lmi nt [查看详细的模块信息] kd> !lmi nt Loaded Module Info: [nt] Module: ntkrnlpa Base Address: 804d8000 Image Name: n
WinDbg学习笔记七 - 内核调试常用命令1 - 查看目标机
imJaron的博客
11-14 1419
WinDbg提供了很多的命令来查看被调试对象的信息,将分别介绍以下的命令vertarget, dg, !cpuinfo, !pcr, !prcb, !idt, !running。 vertarget: 查看目标机的基本信息,例如系统的版本,内核基址等等。 !cpuinfo: 显示CPU信息 !dg: 显示选择子的详细信息。 !pcr: 显
windbg 内核调试部分命令
yu_sn0w的博客
09-25 368
dg 0x10 查看段描述符 dg 0x00 0x80 可以查看一部分段描述符,和上面一样后面这个数字可以自己修改的 r gdtr 查看 GDT 表地址 dq 0x… 或者 dq gdtr 都可以查看GDT表内容 也可以查看一个范围内的 eq 修改GDT表 ...
WinDbg_X86: Windows平台下的X86调试神器
WinDbg_X86调试工具是在win32系统环境下使用的一款调试工具,尤其适用于Windows操作系统和Visual Studio开发环境。本文将详细介绍该工具的相关知识点,包括其功能、使用场景、命令系统以及如何安装等。 ### WinDbg_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值