windbg 命令

最新推荐文章于 2022-10-16 16:06:03 发布

转载最新推荐文章于 2022-10-16 16:06:03 发布 · 76 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/herso/archive/2009/04/09/1432685.html

本文介绍了使用Windbg进行进程调试的基本方法，包括查看结构定义、枚举进程信息及以特定结构查看地址等内容。通过这些技巧，可以有效地进行系统级调试。

一：查看结构定义：

1. 查看eprocess的结构： dt _EPROCESS

2. .....kprocess : dt _KPROCESS

相关的内容：

dt pspcidtable

dt _HANDLE_TABLE

如果要查看具体的结构：使用 dt _eprocess 0x80001234(eprocess 的地址)

dt _HANDLE_TABLE 8114a938

二：枚举进程信息:

!process 0 0

三。以**结构查看某个地址

!handle 0x******

!object 0x*******

!thread 0x*******

转载于:https://www.cnblogs.com/herso/archive/2009/04/09/1432685.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_34408717

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Windbg常用命令详解

dvlinker的技术专栏

06-28

1万+

本文详细介绍Windbg常用命令。

windbg命令高亮显示插件

12-07

这款"Windbg命令高亮显示插件"是为了提升用户在使用Windbg时的体验，通过高亮显示命令，使得调试过程更加直观和高效。下面我们将深入探讨这款插件的功能、使用方法以及与Windbg的结合。首先，高亮显示是编程和调试...

参与评论您还未登录，请先登录后发表或查看评论

windbg 命令笔记

优快云博客

07-05

265

基本命令元命令扩展命令 g go 运行 vertarget 在目标计算机系统上显示 Windows 的版本 lm (List Loaded Modules) 命令来显示加载的模块，你可以验证是否正在使用正确的内核模式进程。 lm v m tcpip 请求特定模块的详细信息，请使用所示的 v（详细）选项。 .dump /ma ...

PspCidTable综合概述

weixin_34390996的博客

06-24

269

PspCidTable概述 2009-03-28 11:27 PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有...

pspCidTable

Mr.Out的专栏

10-14

1221

一. pspCidTable概念及内核调试 ----------------------------------------------------- pspCidTable是内核未导出的HANDLE_TALBE结构，它保存着所有进程和线程对象的指针。 只要能遍历这个PspCidTable句柄表，就可以遍历到系统的所有进程，包括所有隐藏进程，除非你抹掉pspCidTable... <br

关于PspCidTable

zfdyq

10-20

966

PspCidTable为一个全局变量，其格式与普通的句柄表是完全一样的. 但它与每个进程私有的句柄表有以下不同: 1.PspCidTable中存放的对象是系统中所有的进线程对象指针,其索引就是PID和CID 2.PspCidTable中存放是对象体(指向EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER) 3.PspCidTable

驱动开发：内核枚举PspCidTable句柄表

热门推荐

优快云

10-16

1万+

在上一篇文章中我们通过枚举特征码的方式找到了DPC定时器基址并输出了内核中存在的定时器列表，本章将学习如何通过特征码定位的方式寻找Windows 10系统下面的内核句柄表地址。首先引入一段基础概念；windowsPspCidTable 就是这样的一种表(内核句柄表)，表的内部存放的是进程EPROCESS和线程ETHREAD的内核对象，并通过进程PID和线程TID进行索引，ID号以4递增，内核句柄表不属于任何进程，也不连接在系统的句柄表上，通过它可以返回系统的任何对象。

windbg命令大全.zip

09-04

这个"Windbg命令大全.zip"压缩包包含了深入学习和掌握Windbg所必需的重要资源，特别是PDF文档"WinDBG命令行大全.pdf"，它应该详细列举了各种Windbg命令及其使用方法。 Windbg命令行大全的核心知识点包括以下几个...

WinDbg 命令三部曲.mht

05-18

WinDBG命令介绍

windbg命令

05-15

【旧文章搬运】PspCidTable攻与防

weixin_30455067的博客

12-26

304

原文发表于百度空间，2009-03-29========================================================================== PspCidTable的攻与防,其实就是进程隐藏与检测所涉及到的一部分工作~~不管基于PspCidTable的进线程检测,还是抹PspCidTable进行进程对象的隐藏,都涉及到对PspCidTable的遍历...

内核PspCidTable句柄表遍历获取隐藏进程

CrazyWolf的专栏

09-23

2519

先从WinDBG中来看下PspCidTable. lkd> dd pspcidtable 84196eb4 8ae011c8 00000000 80000018 00000101 84196ec4 800005e0 80000020 00000000 00000000 84196ed4 00000000 00000000 00000000 00000113 84196ee4 0000

【Windows内核编程】Win10/Win11通过PspCidTable取得EProcess

懵逼树上懵逼果

08-04

1480

在内核RING0层运用PspCidTable枚举可能被隐藏、断链的进程，得到EPROCESS对象

遍历PspCidTable表检测隐藏进程

08-11

456

一、PspCidTable概述 PspCidTable也是一个句柄表，其格式与普通的句柄表是完全一样的，但它与每个进程私有的句柄表有以下不同： 1.PspCidTable中存放的对象是系统中所有的进程线程对象，其索引就是PID和TID。 2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HE...

(Win7) PspCidTable遍历进程句柄表，枚举进程

h2995527的博客

04-10

630

搞了一阵子的PHP，今天又来继续自己的C++了，翻阅了一下自己之前写的代码和说明，自己也有点儿稀里糊涂了，于是又仔细的从头研究了一下，遂写此文以记之，文中有不当的地方欢迎大家拍砖. 先说一下句柄表是什么在windows内核中定义了很多内核对象，像文件对象，线程对象，信号量对象啊等等；而Windows中并没有让我们直接去使用这些对象资源，而是通过句柄让我们去引用这些资源，句柄表就相当于资源的数组，而句柄就是对应资源的索引，每个进程内部都有一个自己的私有句柄表，这也就是说句柄是不能跨进程使用的。 PspCi

PspCidTable概述

yaneng的专栏

06-18

1407

PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.PspCidTable中存放的直接是对象体(EPROCESS和ETHREAD),而每个进程私有的句柄表则存放的是对象头(OBJECT_HEADER)3.PspCidTable是一个独立的句柄表,而每

【旧文章搬运】PspCidTable概述

weixin_30824277的博客

12-26

177

原文发表于百度空间，2009-03-28========================================================================== PspCidTable也是一个句柄表,其格式与普通的句柄表是完全一样的.但它与每个进程私有的句柄表有以下不同:1.PspCidTable中存放的对象是系统中所有的进线程对象,其索引就是PID和TID2.Psp...

windbg分析运行在64位环境下的32位程序的dump

我爱密码学

12-17

5424

windbg命令如下1. .load wow64exts2. !sw3. ~* kvnf

二维码 google zxing.zip