windbg符号链接的问题.还有KeServiceDescriptorTableShadow内存块查找时问号的情况

最新推荐文章于 2023-07-03 09:49:00 发布
原创 最新推荐文章于 2023-07-03 09:49:00 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c #module #session #虚拟机 #exe #dll

本文详细介绍使用Windbg进行系统级调试的过程,包括配置符号路径、加载符号文件、查看影子表等关键步骤,并分享了作者的实际调试经验和技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近配置windbg比较郁闷,搞了几天才搞定,自己的经验希望能帮助大家.也方便自己以后查阅

首先介绍几个命令:

lm 列出加载模块信息 如下

0: kd> lm
start    end        module name
80800000 80a28000   nt         (export symbols)       ntkrnlmp.exe


Unloaded modules:
f58aa000 f58d5000   kmixer.sys
f7da6000 f7da7000   drmkaud.sys
f5a6d000 f5a7a000   DMusic.sys
f58d5000 f58f8000   aec.sys 
f5a8d000 f5a9b000   swmidi.sys
f7c15000 f7c17000   splitter.sys
f7853000 f785e000   imapi.sys
f7833000 f783c000   HIDCLASS.SYS
f74ef000 f74f2000   HidUsb.sys
f7ba7000 f7bab000   KbdHid.sys
f79cb000 f79d0000   usbohci.sys
f79c3000 f79c8000   Cdaudio.SYS
f7b9f000 f7ba2000   Sfloppy.SYS


!sym noisy 开启详细调试信息

0: kd> !sym noisy
noisy mode - symbol prompts on


然后配置路径加载驱动符号:

 打开文件->符号文件路径->添加你的文件路径.可以在微软网站下载符号(建议全部下载脱机情况下也能用)http://msdn.microsoft.com/enus/windows/hardware/gg463028

设置好路径加载 输入  .reload  加载符号 

bf800000 bf9c5e80   win32k   T (no symbols)        //- 妈的win32k.sys没有加载

强制运行 .reload /f win32k.sys //- /f选项强制加载也不成


搜了下往上资料设置网络自动下载路径:  

打开文件->符号文件路径->添加你的文件路径用分号和之的路径分隔开SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols 

若发现符号不能自动下载说明你的windbg版本和你现在使用的系统版本不符(http://msdn.microsoft.com/en-US/windows/hardware/hh852360)这个网站下载windbg 注意这里面不只是windbg而已,而且包括源文件和一些相关的工具

比较大。我们重新加载之.  若发现c:\MyLocalSymbols文件下多了很多文件说明下载成功.我们开下加载情况

若发现其中只加载了部分符号 其他显示为deferred  我们可以用  .reload /i

start    end        module name
80800000 80a28000   nt         (pdb symbols)          d:\symbols\exe\ntkrnlmp.pdb
80a28000 80a48d00   hal        (pdb symbols)          d:\symbols\dll\halmacpi.pdb
bf000000 bf011600   dxg        (pdb symbols)          d:\symbols\sys\dxg.pdb
bf012000 bf026b80   vmx_fb   T (no symbols)           
bf800000 bf9c5e80   win32k     (pdb symbols)          c:\mylocalsymbols\win32k.pdb\CC2837A766214B4A86F05D51DC8EC5302\win32k.pdb
f548c000 f54cca80   HTTP       (pdb symbols)          d:\symbols\sys\http.pdb
f55e5000 f563c600   srv        (pdb symbols)          c:\mylocalsymbols\srv.pdb\B71D43221C284A288535837C8BDEA3302\srv.pdb
f56dd000 f5725e80   sogounetopt   (no symbols)           
f58f8000 f590c480   wdmaud     (pdb symbols)          d:\symbols\sys\wdmaud.pdb
f59d5000 f59ec780   hgfs       (no symbols)           
f5a09000 f5a0b500   ProtectorA   (no symbols)           
f5a9d000 f5aabd80   sysaudio   (pdb symbols)          d:\symbols\sys\sysaudio.pdb
f5c81000 f5c84900   ndisuio    (pdb symbols)          d:\symbols\sys\ndisuio.pdb
f5d5d000 f5d74900   dump_atapi   (pdb symbols)          d:\symbols\sys\atapi.pdb
f5d9d000 f5dc3000   BAPIDRV    (no symbols)           
f5dc3000 f5e32c80   mrxsmb     (pdb symbols)          c:\mylocalsymbols\mrxsmb.pdb\8BBCE1B6ABFA41FBA89E2F1C45B4E0A52\mrxsmb.pdb
f5e33000 f5e65b00   qutmdrv    (no symbols)           
f5e8e000 f5eb8e80   rdbss      (pdb symbols)          d:\symbols\sys\rdbss.pdb
f5eb9000 f5edad00   afd        (pdb symbols)          c:\mylocalsymbols\afd.pdb\0975A36674EA47B7A3C42DEC1731798F2\afd.pdb

发现win32k加载成功了 


我们继续找影子表的内容:

0: kd> dd KeServiceDescriptortableShadow
8088b4e0  8080d8a0 00000000 0000011c 8083a0bc
8088b4f0  bf99ce00 00000000 0000029b bf99db10
8088b500  00000000 00000000 00000000 00000000
8088b510  00000000 00000000 00000000 00000000
8088b520  8080d8a0 00000000 0000011c 8083a0bc
8088b530  00000000 00000000 00000000 00000000
8088b540  00000000 00000000 00000000 00000000
8088b550  00000000 00000000 00000000 00000000


bf99ce00 为影子表的地址:

我们继续查看下:

0: kd> dd bf99ce00
bf99ce00  ???????? ???????? ???????? ????????
bf99ce10  ???????? ???????? ???????? ????????
bf99ce20  ???????? ???????? ???????? ????????
bf99ce30  ???????? ???????? ???????? ????????
bf99ce40  ???????? ???????? ???????? ????????
bf99ce50  ???????? ???????? ???????? ????????
bf99ce60  ???????? ???????? ???????? ????????

bf99ce70  ???????? ???????? ???????? ????????


我们在用户态下给他下个断点: bp NtUserPostMessage 

0: kd> bp NtUserPostMessage
WARNING: Software breakpoints on session addresses can cause bugchecks.
Use hardware execution breakpoints (ba e) if possible.

告诉会引起bug 有可能的话让我们用硬件断点。不你妈管了 F5跑起来 ,在虚拟机上开个我的电脑断下来继续查看


1: kd> dd bf99ce00
bf99ce00  bf939134 bf94a6a7 bf86febb bf942269
bf99ce10  bf94bcbe bf9393c8 bf93946d bf831689
bf99ce20  bf94b5e5 bf937533 bf94bbdd bf910121
bf99ce30  bf8ff4d3 bf80992d bf94baaf bf94d2ab
bf99ce40  bf8fddd0 bf876f9c bf94bb8d bf94d3de
bf99ce50  bf81c82c bf8e5895 bf8ac916 bf85a039
bf99ce60  bf91135c bf80e2e8 bf8e553d bf94d0a3
bf99ce70  bf94dfae bf813a94 bf80c889 bf8da236

终于大功告成了!








windbg加载符号问题
02-02
符号windbg工作的重要依据,缺少调试符号windbg有可能显示错误的结果。这是设置本地符号目录,以及定义符号服务器
Windbg 10.0.19041.1 (Windows 10 20H1)
09-23
1. **内存调试**:它可以检查程序的内存分配和使用情况,找出内存泄漏或非法访问等问题。 2. **崩溃堆栈分析**:当程序崩溃Windbg能提供详细的崩溃堆栈信息,帮助开发者定位问题所在。 3. **反汇编和代码调试**...
WinDbg符号链接
BCMY0110的博客
02-22 1012
WinDbg符号链接参考 直接在Windows环境变量中这么设置 添加 一个新的变量 _NT_SYMBOL_PATH 变量的值 cache*c:\MySymbols;srv*https://msdl.microsoft.com/download/symbols 你有什么问题,去看上面给的超链接。我去哪里翻看的资料,得到的结论。 在此之前,翻看了几十篇博文,楞是没有一个能过的。 下面这个是WinD...
研究心得-恢复2k xp得win32k.sys得KeServiceDescriptorTableShadow
明日帝国的专栏-技术改进生活
10-26 5572
/** * @file sdtreset.cpp  * * @brief sdtreset.cpp, v 1.0.0 2005/10/25 11:48:42 sunwang * * details here. * 草稿代码,命名混乱,重构候使用java风格,getKiServiceTableAddrMM * 其实找到了KeServiceDescriptorTable/Shadow的真实entry
windbg符号路径
a3125504x的博客
09-12 853
什么是符号路径呢?就是调试器寻找符号文件的方向,它可以是本地文件夹路径、可访问的UNC路径、或者是符号服务器路径。什么是符号服务器呢?如果调试过程中,需要涉及到成千上万个符号文件,以及同一个符号文件存在不同平台下的不同符号文件版本的候,那么一一手动设置符号路径肯定是不现实的,于是引入符号服务器的概念。符号服务器有一套命名规则,使得调试软件能够正确找到需要的符号文件。一般来说,符号服务器比较大,都
关于windbg不能正确显示KeServiceDescriptorTableShadow问题
u011019337的专栏
07-31 1007
参考了一下网上的文档,其实就是符号问题 可以在symbol path里加入 srv*E:\WinDDK*http://msdl.microsoft.com/download/symbols E:\\WinDDK 是你的符号表要保存的硬盘路径 在windbg命令行下输入: kd>  !sym noisy          //命令希望WinDBG在获得符号候取得更多的信息 kd> 
WinDbg_preview_1.1910.3003.0.zip
10-10
3. **分析内存泄漏**:通过检查内存分配和释放情况WinDbg可以帮助识别潜在的内存泄漏问题。 4. **分析CPU性能问题**:利用WinDbg的性能分析功能,可以跟踪CPU使用率高的原因,定位到导致性能瓶颈的代码。 5. **...
Windbg 10.0.18362.1__win10 1903版 (最新版)
09-26
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
Windows 10 20H1版Windbg 10.0.19041.1工具
最新发布
06-22
Windbg 的核心功能如下:一是内存调试功能,它能够检查程序的内存分配和使用情况,帮助用户发现内存泄漏或非法访问等问题;二是崩溃堆栈分析功能,当程序崩溃Windbg 可以提供详细的崩溃堆栈信息,协助开发者精准...
Windbg 10.0.17763.1
09-26
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
windebug查看KeServiceDescriptorTable
Ansbic的专栏
08-23 867
kd> dd KeServiceDescriptorTable 8089f7e0  80831b20 00000000 00000128 80831fc4 8089f7f0  00000000 00000000 00000000 00000000 8089f800  8089f800 8089f800 7c9524b4 00000000 8089f810  00000000 0000000
KeServiceDescriptorTable 与 KeServiceDescriptorTableShadow
06-01 964
早先“盗用”过公开的Re SSDT的源代码,对SSDT多少还是了解些,也Hook 过SSDT,但一直对另外一个SSDT——Shadow SSDT不甚了解,只知道它跟GUI调用有莫大的关系,具体怎么联系起来的,说不清楚。   最近研究起了Hook ShadowSSDT这个东西,经过查找资料、阅读Win2k的源码,以及WinDbg闹腾了半天,才终于明白了KeServiceDescriptorTa
windbg符号路径设置
tzstzstzs的专栏
07-03 878
PDB(Program Database),是微软开发的用于存储程序调试信息的文件格式。pdb文件是由源码在编译期生成,存储了源文件名称,变量名,函数名,FPO(帧指针),对应行号等信息。由于体积庞大,同出于安全性考虑,可运行程序exe或者dll文件都是无符号的。
Obtaining KeServiceDescriptorTableShadow address
06-30 852
In Windows NT based operating system every system call originated in user mode which is to be processed by the system抯 kernel must go through the gate to the kernel itself where it would be dispat
Windows下如何获得KeServiceDescriptorTableShadow地址
misterliwei的专栏
07-22 3113
Windows下如何获得KeServiceDescriptorTableShadow地址 总结网上文章的观点,主要有下面几种:1.根据操作系统分类。在WIN2K下KeServiceDescriptorTableShadow接跟着keServiceDescriptorTable;而在XP下,顺序正好相反,KeServiceDescriptorTable紧跟着KeServiceDescri
在XP内核模式下如何获得KeServiceDescriptorTableShadow的地址
A00553344的专栏
02-12 3286
在XP内核模式下如何获得KeServiceDescriptorTableShadow的地址 In Windows NT based operating system every system call originated in user mode which is to be processed by the system抯 kernel must go through the gate
KeServiceDescriptorTable64获取
weixin_34368949的博客
03-11 960
1 ULONGLONG GetKeServiceDescriptorTable64() //我的方法 { PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082); PUCHAR EndSearchAddress = StartSearchAddress + 0x500; PUCHAR i = NULL; U...
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解
Doub1's Blog
11-23 1990
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解引言站在巨人的肩膀上实现代码通用的偏移计算方法 引言 很久没写博客了,水个博客,KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow的原理我就不写了,百度很多,主要这篇写如何定位x64下未导出的KeServiceDescriptorTable。 站在巨人的肩膀上 前辈们在之前已经找到了一个计算公式,通过读取msr寄存器的0xC0000082读取到
解析Windbg在内存泄漏问题诊断中的应用
标题和描述中只包含重复的"windbg内存泄漏问题",这表明需要集中讨论与Windbg工具以及内存泄漏相关的问题。由于描述中没有提供额外的信息,我们将就Windbg工具如何诊断和分析内存泄漏问题进行深入讨论。 ### 知识点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值