DbgPrint/KdPrint输出格式控制 PS:mark一下

最新推荐文章于 2024-12-11 16:23:00 发布
最新推荐文章于 2024-12-11 16:23:00 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 驱动内核 文章标签: string integer build ddk 编程 优化
本文详细介绍了在驱动编程中DbgPrint与KdPrint的使用方法及输出格式控制,这两种函数常用于输出调试信息,并解释了它们在不同编译环境下的行为差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在驱动编程学习中,往往需要通过DbgPrint或者KdPrint来输出调试信息,对于Check版本,KdPrint只是DbgPrint的一个宏定义,而对于Free版本,KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。

KdPrint is identical to the DbgPrint routine in code that is compiled in a checked build environment. This routine has no effect if compiled in a free build environment. Only kernel-mode drivers can call the KdPrint routine.

下面还是说一下他们的输出格式控制吧:

符号格式说明符类型
%c, %lcANSI字符char
%C, %wc宽字符wchar_t
%d, %i十进制有符号整数int
%D十进制__int64__int64
%L十六进制的LARGE_INTEGERLARGE_INTEGER
%s, %lsNULL终止的ANSI字符串char*
%S, %wsNULL终止的宽字符串wchar_t*
%ZANSI_STRING字符串ANSI_STRING
%wZUNICODE_STRING字符串UNICODE_STRING
%u十进制的ULONGULONG
%x小写字符十六进制的ULONGULONG
%X大写字符十六进制的ULONGULONG
%p指针Pointer 32/64位 

就那么多。根据DDK上说明,Unicode格式(%C, %S, %lc, %ls, %wc, %ws, and %wZ)只能在 IRQL = PASSIVE_LEVEL时才能使用。

原创文章,转载请注明:
本文出自程序人生 >> DbgPrint/KdPrint输出格式控制
作者:代码疯子


Windows 7 DebugView显示DbgPrint输出
04-14 1362
注:以下操作对win8 win10 系统都使用 1、通过注册表 在HKLM\SYSTEM\CuurentControlSet\Control\Session Manager下新建一个名称为Debug Print Filter的key; 在Debug Print Filter下新建一个项:De...
x64+dbgview 中如何显示kdPrint的几种方法总结
myclarinet的博客
03-15 2627
第一种:*.reg文件,重启后用管理员身份打开dbgview,并勾选capture Global win32选项Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Debug Print Filter]  "DEFAULT"=dword:...
DbgPrint/KdPrint输出格式控制
weixin_34151004的博客
07-25 282
在驱动编程学习中,往往需要通过DbgPrint或者KdPrint输出调试信息,对于Check版本,KdPrint只是DbgPrint的一个宏定义,而对于Free版本,KdPrint将被优化掉。这些输出信息可以通过DebugView对内核的监控来看到。 KdPrint is identical to the DbgPrint routine in code that is compiled...
Windows内核--DbgPrint/KdPrint Kernel log(3.1)
编程语言开发、框架原理、编程思想、最佳实践技巧经验分享
11-05 1473
Kernel和Driver可以通过DbgPrintDbgPrintEx打log. Windows内核并不会把Kernel log用UART输出,而是通过系统服务(int 2dh)的方式输出. DbgPrint的实现确实不走寻常路!
windows KdPrint打印中文文件夹的问题,应该是DbgPrint的BUG
TANG_XIAO_BIN的专栏
07-07 1386
有的时候打印部分文件夹名字会出问题,尤其是桌面文件夹更明显,之前一直存在,今天写出来分享下。 就不截图了,比如要答应  \test\测试.txt   这个时候就只打印\test就没有啦   解决办法: if (RtlUnicodeStringToAnsiString(&ansiString, &FileName, FALSE) == STATUS_SUCCESS)    {     K
DbgPrint("fh:sys Debug: 0x%016llX",#e,v);怎么修改
07-27
引用[3]讨论了DbgPrint输出格式,包括格式说明符如%ws, %wZ, %p等。引用[4]有一个例子,但似乎不直接相关。 关键点是DbgPrint的格式字符串。用户当前的语句是:DbgPrint("fh:sys Debug: 0x%016llX", #e, v); ...
通过我给出的代码,分析它的作用BOOLEAN HookDbgkDebugObjectType() { //如果是不以原始DbgkDebugObjectType指针来操作,以启动方式时则需要替换PspInsertProcess中的DbgkDebugObjectType UNICODE_STRING ObjectTypeName; //获取原始DbgkDebugObjectType CKernelTable Ssdt; /*根据给定的函数名NtCreateDebugObject,在系统服务描述符表(SSDT)中查找对应的函数地址*/ PVOID NtCreateDebugObject = Ssdt.GetAddressFromName("NtCreateDebugObject"); if (!NtCreateDebugObject) { return FALSE; } ULONG templong = 0; /* 指令序列用于查找 DbgkDebugObjectType 地址*/ UCHAR tzm[] = { 0x48, 0x8B, 0x15, 0xEC, 0x85, 0x47, 0x00 }; ULONG64 addr = 0; for (PUCHAR i = (PUCHAR)NtCreateDebugObject; i < (PUCHAR)NtCreateDebugObject + 0x100; i++) { if (*i == 0x48 && *(i + 1) == 0x8B && *(i + 2) == 0x15 ) { // 复制相对偏移量 memcpy(&templong, i + 3, 4); addr = (ULONG64)((ULONG)templong + (ULONG64)i + 7);// 计算绝对地址 break; } } g_DbgkDebugObjectType = (POBJECT_TYPE*)addr; if (g_DbgkDebugObjectType == 0) { return FALSE; // 返回失败状态,无法获取 DbgkDebugObjectType 地址 } DbgPrint("fh:sys g_DbgkDebugObjectType:%p\n", g_DbgkDebugObjectType); RtlInitUnicodeString(&ObjectTypeName, L"styone"); // 初始化对象类型名称 OBJECT_TYPE_INITIALIZER_WIN10 ObjectTypeInitializer; POBJECT_TYPE* DbgkDebugObjectType = g_DbgkDebugObjectType; //参数构造 //memcpy(&ObjectTypeInitializer, &DbgkDebugObjectType->TypeInfo, sizeof(ObjectTypeInitializer)); // 复制对象类型信息 memcpy(&ObjectTypeInitializer, &(*DbgkDebugObjectType)->TypeInfo, sizeof(OBJECT_TYPE_INITIALIZER_WIN10)); //这里恢复调试权限 //ObjectTypeInitializer.DeleteProcedure = &DbgkpDeleteObject; //ObjectTypeInitializer.CloseProcedure = &DbgkpCloseObject; //ObjectTypeInitializer.DeleteProcedure = &proxyDbgkpDeleteObject; //ObjectTypeInitializer.CloseProcedure = &proxyDbgkpCloseObject; ObjectTypeInitializer.DeleteProcedure = NULL; // 设置删除过程为空 ObjectTypeInitializer.CloseProcedure = NULL;// 设置关闭过程为空 ObjectTypeInitializer.GenericMapping.GenericRead = 0x00020001;// 设置通用读权限 ObjectTypeInitializer.GenericMapping.GenericWrite = 0x00020002; // 设置通用写权限 ObjectTypeInitializer.GenericMapping.GenericExecute = 0x00120000;// 设置通用执行权限 ObjectTypeInitializer.GenericMapping.GenericAll = 0x001f000f;// 设置通用所有权限 ObjectTypeInitializer.ValidAccessMask = 0x001f000f; // 设置有效访问掩码 //创建调试对象类型 NTSTATUS status = ObCreateObjectType(&ObjectTypeName, &ObjectTypeInitializer, NULL, (PVOID*)g_DbgkDebugObjectType); //return FALSE; if (!NT_SUCCESS(status)) { if (status == STATUS_OBJECT_NAME_COLLISION) { //对象名已经存在 DbgPrint("ObCreateObjectType STATUS_OBJECT_NAME_COLLISION 对象名已经存在\n"); PUCHAR j_ObGetObjectType = (PUCHAR)GetKernelAddress("ObGetObjectType"); if (!j_ObGetObjectType) { DbgPrint("ObGetObjectType函数 failed\n"); // 获取 ObGetObjectType函数 失败 return FALSE; } //ULONG uloffset = (ULONG)(*(PUINT32)(j_ObGetObjectType + 31)); //DbgPrint("uloffset:%x\n", uloffset); //ULONG64 baseAddr = (ULONG64)j_ObGetObjectType + 35; //DbgPrint("baseAddr:%p\n", baseAddr); //POBJECT_TYPE* ObTypeIndexTable = (POBJECT_TYPE*)(baseAddr + uloffset); // 获取对象类型索引表地址 POBJECT_TYPE* ObTypeIndexTable = (POBJECT_TYPE*)(*(PUINT32)(j_ObGetObjectType + 31) + (ULONG64)j_ObGetObjectType + 35); if (!ObTypeIndexTable) { DbgPrint("ObGetObjectType get failed\n"); // 获取对象类型索引表失败 return FALSE; } DbgPrint("ObTypeIndexTable:%p\n", ObTypeIndexTable); // 打印对象类型索引表地址 //DbgPrint("sizeof(_OBJECT_TYPE):%x\n", sizeof(_OBJECT_TYPE)); // 打印对象类型索引表第2个元素地址 DbgPrint("ObTypeIndexTable[2]:%p\n", ObTypeIndexTable[2]); ULONG Index = 2; while (ObTypeIndexTable[Index]) { // 打印当前对象类型地址 DbgPrint("ObTypeIndexTable[Index]:%p\n", ObTypeIndexTable[Index]); if (&ObTypeIndexTable[Index]->Name) { if (ObTypeIndexTable[Index]->Name.Buffer) { DbgPrint("RtlCompareUnicodeString:%ws %ws\n", ObTypeIndexTable[Index]->Name.Buffer, ObjectTypeName.Buffer); // 比较对象类型名称 if (RtlCompareUnicodeString(&ObTypeIndexTable[Index]->Name, &ObjectTypeName, FALSE) == 0) { // 设置 DbgkDebugObjectType 为找到的对象类型 *g_DbgkDebugObjectType = ObTypeIndexTable[Index]; // 打印已存在的 DbgkDebugObjectType 地址 DbgPrint("ObCreateObjectType already exist *g_DbgkDebugObjectType:%p\n", *g_DbgkDebugObjectType); return TRUE; } } } Index++; } } else { DbgPrint("ObCreateObjectType eeor!\n"); // 创建对象类型失败 return FALSE; } } // 打印创建成功的 DbgkDebugObjectType 地址 DbgPrint("ObCreateObjectType ok g_DbgkDebugObjectType:%p\n", g_DbgkDebugObjectType); return TRUE;// 返回成功状态 }
最新发布
08-05
我们正在分析Windows内核驱动开发中HookDbgkDebugObjectType函数的作用,以及它与调试对象类型修改、权限控制的关系。同时,我们还需要理解ObCreateObjectType、NtCreateDebugObject和SSDT(System Service ...
DriverMonitor工具:sys文件DbgPrint信息监控
对于Windows操作系统下的驱动开发,DbgPrint函数是内核开发者用来输出调试信息的主要方法之一。通过捕获DbgPrint函数的输出,开发者能够了解驱动程序在运行时的状态,这对于跟踪问题和性能优化至关重要。 在深入...
DbgPrint函数流程分析[定义].pdf
10-11
DbgPrint函数的使用方法与标准的printf函数类似,支持格式化字符串的输出。 在Windows Vista及更高版本的系统中,DbgPrint函数的执行流程相对简单。首先,我们看其在WDK(Windows Driver Kit)中的定义,DbgPrint...
KdPrint的使用方法
Iqian1314的专栏
07-15 2084
<br />KdPrint使用方法类似printf,注意KdPrint((" ",  ));使用的是双括号。<br />用KdPrint(())来代替printf 输出信息。这些信息可以在DbgView 中看到。KdPrint(())自身是一个宏,<br />为了完整传入参数所以使用了两重括弧。这个比DbgPrint 调用要稍好。因为在free 版不被编译。<br />DebugPrint格式说明符<br />         格式说明符                类型<br />%c ANSI字符  
Windows驱动编程基础教程(转)
weixin_30703911的博客
06-01 433
我经常在网上遇到心如火燎的提问者。他们碰到很多工作中的技术问题,是关于驱动开发的。其实绝大部分他们碰到的“巨大困难”是被老牛们看成初级得不能再初 级的问题。比如经常有人定义一个空的UNICODE_STRING,然后往里面拷贝字符串。结果无论如何都是蓝屏。也有人在堆栈中定义一个局部 SPIN_LOCK,作为下面的同步用——这样用显然没有任何意义。我无法一一回答这些问题:因为往往要耐心的看他...
Windows驱动开发之日志打印
热门推荐
Sagittarius_Warrior的博客
04-21 1万+
在WDF框架中,有一个“trace.h”头文件,在驱动的入口函数中,会用到 // // Initialize WDF WPP tracing. // WPP_INIT_TRACING( DriverObject, RegistryPath ); // // TraceEvents function is mapped to DoTraceMess
sys文件--查看DbgPrint函数打印的信息
weixin_30258901的博客
04-28 343
环境:XP + VS2008 + WDK 工具:DebugView +DriverMonitor 查看DbgPrint函数打印的信息只需两步。 step1:成功编译出sys文件。 step2:打开DriverMonitor和DebugView软件。 step3:用DriverMonitor加载对应的sys文件,在DebugView软件就可以查看到对应的DbgPrint ...
KdPrintEx DbgPrintEx KdPrint DbgPrint输出格式
jiangc251的博客
04-20 1451
Unicode_String  使用  %wZ Ansi_String 使用 %Z
Windows 内核知识整理
linlin003的专栏
12-11 898
Windows中很多组件都有自己的DRIVER_OBJECT比如所有的硬件驱动程序、所有的类驱动(Disk Cdron)文件系统(NTFS、FastFat)都有各自的DRIVER_OBJCET以及其他的内核组件,可以通过编写内核程序,能找到这些关键的驱动对象结构(比如NTFS文件操作系统),然后改写下面的分发函数,替换成我们自己的函数,可能就能捕获Windows文件的功能,比如扫描病毒、文件加密、这就是分发函数Hook技术。这些输出信息可以通过DebugView对内核的监控来看到。
KdPrint输出格式控制
Drifter的专栏
11-05 1485
符号 格式说明符 类型 %c, %lc ANSI字符 char %C, %wc 宽字符 wchar_t %d, %i 十进制有符号整数 int %D 十进制__int64 __int64 %L 十六进制的LARGE_INTEGER LARGE_INTEGER %s, %ls NULL终止的ANSI字符串 cha
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值