IRP的WinDbg相关调试

最新推荐文章于 2023-01-30 23:00:00 发布
转载 最新推荐文章于 2023-01-30 23:00:00 发布 · 781 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/fanzi2009/archive/2010/11/02/1867531.html

本文详细介绍了使用Windows内核调试工具进行设备驱动程序调试的方法,包括查找设备、分析IRP流程、定位发送IRP的线程及查看设备堆栈等关键步骤。

查找所有设备,从中间找到KeyboardClass0或者kbdclass创建的设备
!object \device

查找设备对象的IRP
!irpfind 0 0 device 80e03e38

查看IRP具体信息
!irp 80d839b8

查找发送IRP的线程
!thread 80df54b8

显示Cid 01d0.0210
得知进程ID=01d0,线程ID=0210
!process 01d0 0

!devstack查看设备堆栈

转载于:https://www.cnblogs.com/fanzi2009/archive/2010/11/02/1867531.html

windbg调试驱动学习总结
bcbobo21cn的专栏
03-19 4776
简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识 。 一个简单的驱动一般有以下几
windows驱动IRP详解
12-04
学习如何操作IRP及深入了解IRP内部结构 所有驱动开发人员都要知道的知识
IRP详细介绍
05-03
比较详细的介绍IRP的文档,对驱动初学者应该比较有用!
Windbg命令查看IRP IO_STACK_LOACTION结构体成员
faithzzf的专栏
01-07 2440
dt命令查看结构体成员。加入 /r 递归列举每个成员(dt nt!_irp /r)。      这个是双机调试32位系统下查询的结果, 列举每个成员的偏移量,对于调试汇编代码或者逆向分析驱动是很有帮助的,汇编访问结果体成员的时候都是通过偏移值进行的。知道偏移值以及数据结构的类型,就可以知道访问的成员是那一个了。 kd> dt nt!_irp    +0x000 Type
windbg命令
qq726232111的博客
12-03 371
.hh -> 帮助文档 .prefer_dml 1 -> 启用DML .hh .prefer_dml -> 获取.prefer_dml帮助文档 vertarget
Windows内核中IRP的处理与完成机制
04-23 3605
最近一段时间我将《Windows驱动开发详解》翻阅了一遍,个别章节进行了精读,还是很有体会的,在此想对Window设备驱动开发的一些思想做一下总结。由于这几年在Linux驱动开发方面做了很多工作,因此会将Linux驱动与Windows驱动做一下简单的比较。        2003年时做本科毕业设计,那时候首次涉及Windows驱动程序,由于课题的需要,因此直接采用DriverSt
I/O Request Packet
zhuo_zhibin的专栏
09-14 6028
第5章 I/O Request Packet 5.1 数据结构 在处理 I/O 请求上,有两个重要的数据结构:IRP(I/O request packet)和 IO_STACK_LOCATION 5.1.1 IRP 的结构 下面是在 windbg 里得到的 IRP 结构: nt!_IRP +0x000 Type : Int2B +0x002 Size
windbg 双机调试
06-06
- 在被调试机(Target)上打开`boot.ini`文件,并添加调试相关的参数。 - 示例命令:`multi(0)disk(0)rdisk(0)partition(1)\WINNT=”Microsoft Windows 2000 Professional”/fastdetect /debug /debugport=...
windbg工具和windbg内核调试指南
11-09
7. **驱动程序调试**:针对内核模式驱动程序的调试方法,包括IRP处理、设备对象等。 8. **案例研究**:提供实际的故障案例,演示完整的调试过程。 dbg_x86_6.2.13.1.exe可能是Windbg的安装程序,版本号为6.2.13.1,...
Windbg调试工具
08-05
它能帮助调试驱动的初始化、设备创建、IRP处理等关键流程,确保驱动程序的稳定性和兼容性。 8. **图形化界面**:虽然主要基于命令行,但Windbg也提供了简单的图形用户界面,使得操作更加直观。用户可以通过窗口查看...
Windbg驱动调试入门教程
“驱动开发”则是整个调试行为的前提,只有了解驱动的基本结构(如 DriverEntry、IRP 处理例程、派遣函数、同步机制等),才能有效利用 WinDbg 定位问题。“系统调试”扩展了应用场景,不仅限于第三方驱动,还可用于...
windbg资料集合
05-07
WinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。在DotNet方面WinDbg调试分析SSCLI的最佳工具,同时可以和SOS扩展一起调试分析.net程序。最近一段时间项目需要学习了一下,有感于WinDbg功能的强大。学习的过程并不一帆风顺,WinDbg自带的英文文档大而泛,网上资料也比较少,而WinDbg Not an ABBA Song。现在总算是入了点门,也收集了一些很好的资料,整理成一个CHM方便大家学习,时间仓促,整理得比较粗糙,大家凑合着看。这些文章均来自网络,版权归原作者所有。 1. 默认表达式类型是MASM. 2. 你能使用.expr 改变默认类型(详见WINDOWS调试工具帮助文件)。 3. 某些命令总是使用C++的方式求值。 4. 一个特殊的表达式(或表达式的一部分)的赋值能通过前缀“@@”改成与一般表达式相反的方向。 这个摘要相当棘手,你应该参考WINDOWS调试工具帮助文件中的“Evaluating Expressions”。现在,这里有一些例子,给你一些关于赋值是如何工作的概念。 你之前已经停止在Sioctl!SioctlDeviceControl+0x103,所以使用dv 查看一个已知变量(查看dv 命令以获得更多信息): kd> dv Irp Irp = 0xff70fbc0 该响应的意思是,Irp 变量包含0xFF70FBC0。更多地,dv 解释C++语法中的参数。该响应基于变量内容,而不是地址。你可以确认它: kd> ?? Irp struct _IRP * 0xff70fbc0 ?? 总是以C++ 为基础(详见??命令)。假如使用MASM类型的赋值,尝试? (详见 ? 命令): kd> ? Irp Evaluate expression: -141181880 = f795bc48 这表示变量Irp 位于0XF795BC48。你可以通过使用dd (详见 dd 命令)显示内存数据,确认该变量真的包含数据0xFF70FBC0。 kd> dd f795bc48 l1 f795bc48 ff70fbc0 以及内存指向这里: kd> dd 0xff70fbc0 ff70fbc0 00940006 00000000 00000070 ff660c30 ff70fbd0 ff70fbd0 ff70fbd0 00000000 00000000 ff70fbe0 01010001 04000000 0006fdc0 00000000 ff70fbf0 00000000 00000000 00000000 04008f20 ff70fc00 00000000 00000000 00000000 00000000 ff70fc10 ff73f4d8 00000000 00000000 00000000 ff70fc20 ff70fc30 ffb05b90 00000000 00000000 ff70fc30 0005000e 00000064 0000003c 9c402408 查看象IRP这样的变量,正如dt 显示(详见dt 命令),Type和Size成员有一个似是而非的数据 : kd> dt Irp Local var @ 0xf795bc48 Type _IRP* 0xff70fbc0 +0x000 Type : 6 +0x002 Size : 0x94 +0x004 MdlAddress : (null) +0x008 Flags : 0x70 +0x00c AssociatedIrp : __unnamed +0x010 ThreadListEntry : _LIST_ENTRY [ 0xff70fbd0 - 0xff70fbd0 ] +0x018 IoStatus : _IO_STATUS_BLOCK +0x020 RequestorMode : 1 '' +0x021 PendingReturned : 0 '' +0x022 StackCount : 1 '' +0x023 CurrentLocation : 1 '' +0x024 Cancel : 0 '' +0x025 CancelIrql : 0 '' +0x026 ApcEnvironment : 0 '' +0x027 AllocationFlags : 0x4 '' +0x028 UserIosb : 0x0006fdc0 +0x02c UserEvent : (null) +0x030 Overlay : __unnamed +0x038 CancelRoutine : (null) +0x03c UserBuffer : 0x04008f20 +0x040 Tail : __unnamed 有时,你会希望使用C++ 赋值代替MASM表达式。“@@” 前缀会完成它。扩展命令总是使用象MASM表达式一样的参数,当你使用扩展命令!irp (详见 IRPs),你能看到@@的效果。 kd> !irp @@(Irp) Irp is active with 1 stacks 1 is current (= 0xff70fc30) No Mdl System buffer = ff660c30 Thread ff73f4d8: Irp stack trace. cmd flg cl Device File Completion-Context >[ e, 0] 5 0 82361348 ffb05b90 00000000-00000000 \Driver\SIoctl Args: 00000064 0000003c 9c402408 00000000 重复这个操作,不在上述的 Irp 变量中带@@ 前缀,!irp 将会使用变量的地址,而不是变量的值。为了使这更加具体,如果变量位于0xF795BC48,它包含的数据是0xFF70FBC0,使用!irp Irp 代替@@(Irp)将会请求WinDbg 格式化位于0xF795BC48的IRP stack。 你需要进一步了解的是:@@前缀相当通用,正如它的正式意思,使用不同于当前表达式中正在使用的赋值方法。如果大部分表达式是MASM,@@代表C++,如果它是C++,@@代表MASM。 最后一点建议:如果表达式不如你期望那样工作,考虑你是否在请求调试器理解MASM或者C++语法。 显示和设置内存,变量,寄存器等等 有一些方法可以显示和改变它们。 • 在当前例程中显示一个变量(当前的“scope”),使用dv (“Display Variables”)。例如,如果停止在Sioctl!SioctlDeviceControl+0x103: kd> dv DeviceObject = 0x82361348 Irp = 0xff70fbc0 outBufLength = 0x64 buffer = 0x00000000 "" irpSp = 0xff70fc30 data = 0xf886b0c0 "This String is from Device Driver !!!" ntStatus = 0 mdl = 0x00000000
windbg抓一个windows蓝屏分析
猫哥 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS,AIOT)
01-30 1万+
设备一直以来挺稳定,但还是小概率事件意外出现某设备突然蓝屏了。查看windows事件查看器提示计算机已经从检测错误后重新启动。检测错误: 0x0000009f (0x0000000000000003, 0xffffad0f4edc7570, 0xfffff8046a09ec20, 0xffffad0f4ef318a0)。已将转储的数据保存在: C:\Windows\MEMORY.DMP。
windbg 使用
代号9527
07-27 2331
使用WinDbg内核调试看雪学院,笨笨雄译安装程序基础挑选技术取得更多信息WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用的WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。本文将假定开发者熟悉一般WINDOWS操作系统和进
使用WinDbg内核调试
eqera的专栏
11-29 1万+
WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用的WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。 本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。 本文将假定开发者熟悉一般WINDOWS操作系统和进程的建立过程。 本文的重点是集成内核模式和用户态模式的图形化调试
取消Irp引起蓝屏(BugCheck:0x18)
lixiangminghate的专栏
02-22 2592
昨天写一个简单的驱动,驱动的write例程会将IRP挂起放进自定义的队列中,然后在另一个线程中取消这些挂起的IRP: NTSTATUS SampleCharWriteAsync(PDEVICE_OBJECT devObj, PIRP irp) { KIRQL oldIrql; SampleCharDevContext* devCtx = (SampleCharDevContext*)devO
Windbg内核调试(大杂烩)
sanshao27的专栏
04-21 7333
Windbg内核调试之三: 调试驱动这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分
实战windbg调试驱动例子
03-22 7068
关于VM和WINDBG的基本配置请参考相关的文档。(在这里给各位一篇不错的文章,就是jiurl老大写的《  利用VM使用windbg  》)好了,废话少说,让我们整点干的 :-)既然我们要分析的是sr.sys,当然我们先要看的就是目标机加载的驱动程序的位置了,sr.sys是XP系统系统还原的主体部分,它是建立在NTFS文件分区格式下的一个驱动,说白了 sr.sys其实就是ntfs.sys的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值