Windbg+sos调试.net笔记

最新推荐文章于 2021-04-25 12:40:29 发布
最新推荐文章于 2021-04-25 12:40:29 发布
阅读量792 收藏 3
点赞数 1
分类专栏: 笔记 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yusakul/article/details/109246669
版权
本文介绍使用Windbg调试.NET程序中的Assembly.Load和nLoadImage函数的方法。通过设置断点和使用特定命令,可以深入了解这些函数的工作原理。此外,还介绍了如何使用PowerShell进行反射调用以辅助调试过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

函数Load断点 记录

sxe ld:clrjit
g
.loadby sos ld:clrjit
!name2ee mscorlib.dll System.Reflection.Assembly.Load
bp 0x66be5d2c //断在load
bl
!clrstack
 !dumpstackobjects
 d 02f606d4
 d eax
 dd 02f606d4

函数nLoadImage断点 记录

打开一个.net程序(调用过Load的对象样本),或者用ps反射调用Load(测试用)

sxe ld:clrjit

加载指定名称的dll时,调试器中断

g

.loadby sos ld:clrjit

从加载clr.dll的目录加载SOS调试扩展

!name2ee mscorlib.dll System.Reflection.Assembly.Load

找Assembly.Load的MethodDesc
在这里插入图片描述
找到nLoadImage的函数表token
在这里插入图片描述
在这里插入图片描述

!Token2EE mscorlib.dll 06004326

检索nLoadImage方法的MethodDesc。第一个参数(mscorlib.dll)是实现nLoadImage方法的模块,十六进制数字是从PowerShell检索的元数据令牌。
在这里插入图片描述

!DumpMD 662833ec

然后,转储有关MethodDesc的信息。这将为实现nLoadImage的对象提供方法表的地址
在这里插入图片描述

!DumpMT -MD 66063f04

在这里插入图片描述
在这里插入图片描述
转储System.Reflection.RuntimeAssembly类的所有方法及其各自的本机入口点。nLoadImage具有以下条目:

665289d0 662833ec   NONE System.Reflection.RuntimeAssembly.nLoadImage(Byte[], Byte[], System.Security.Policy.Evidence, System.Threading.StackCrawlMark ByRef, Boolean, Boolean, System.Security.SecurityContextSource)

因此,nLoadImage的本机地址为0x665289d0 。现在,在该地址上设置一个断点,让程序继续执行并使用PowerShell在伪造的PE字节数组上调用Load方法。

其他

我调试的样本有调试检测,Windbg查看调用堆栈:kvn
在这里插入图片描述
定位到:
在这里插入图片描述

32位进程需要32位SOS。 32位SOS仅适用于32位WinDbg。

加载扩展

要加载扩展,有2个命令。一个是.loadby,另一个是.load。对于.loadby,请使用相对路径;对于.load,请使用完整路径。

对于.loadby,有5个选项:
.loadby sos mscorsvr
.loadby sos mscorwks
.loadby sos clr
.loadby sos coreclr
.loadby sos
其中mscorsvr确实很旧(.NET CLR 1,服务器版本),mscorwks确实很旧(.NET CLR 1和2,但仍然存在),clr是在当今很常见(.NET CLR 4),coreclr可能正在增加(UWP和Silverlight)

当尚未加载.NET运行时时,您正在尝试加载SOS。等待直到加载.NET,然后该命令将起作用。在初始断点处肯定是不可能的。

sxe ld clr
sxe ld mscorwks
sxe ld coreclr
g

让应用程序运行到.NET可用

sxe ld 命令

有些场景需要使用windbg调试某个dll模块,而这个模块加载时机不是很确定。

通常需要使用sxe ld <dll名称> 来设置一个模块加载异常。当被调试进程加载指定名称的dll时,调试器就会中断,后续就可以对该模块的设置一些符号断点了。

那么如何看到我设置的所有sxe断点呢? 在windbg的event filter中可以管理设置过的sx系列断点
在这里插入图片描述

利用powershell执行反射调用Load函数辅助调试

[Reflection.Assembly].GetMethod('Load', [Type[]] @([Byte[]] )) | Get-ILDisassembly

Get-ILDisassembly函数为PowerShellArsenal模块提供。显示IL指令
在这里插入图片描述
得到Load函数的token,通过token得到load地址,nLoadImage函数再Load函数中调用

set-ExecutionPolicy RemoteSigned
$Env:PSModulePath
Import-Module PowerShellArsenal
Get-Command -Module PowerShellArsenal
Powershell中显示省略号内容:
$FormatEnumerationLimit = -1

.NET / Rotor源码研究3 – 调试Rotor托管代码的利器:WinDbgSOS
张羿的优快云专栏
05-12 4783
WinDbg+SOS简介在动手进一步研究Rotor之前,我们需要首先解决一个问题:用什么调试工具最好? 很有可能你会说,这还不简单,直接用Visual Studio不就好了?一般情况下是的,只不过,在这个情况下,Visual Studio并非是最好的选择:1.     CLR对代码的编译是动态进行的(其实还有可能是静态的,称之为Prejit或者NGEN,不过可惜Rotor对此不支持),也就
.NET高级调试Windbg调试入门篇
最新发布
Code365
06-24 684
若要使用 WinDbg 提供的所有高级功能,必须加载适当的符号:比如说我们可以调试、查看.NET CLR程序堆栈,此时要加载对应的调试符号。Windbg调试器扩展是Windbg调试的精华和核心,可以这么说,掌握各类Windbg调试器扩展,你就掌握了各类调试技能。默认情况下,WinDbg调试指令是有限的,通过一些WinDbg调试器扩展,可以方便我们进行.NET 程序调试。下载、安装、配置完成Windbg之后,接下来我们了解一下一些基本的调试命令。那么,首先我们先进行Windbg下载安装、配置。
windbg-sos参考
08-13
windbg-sos参考
.NET / Rotor源码分析5 - 开始使用WinDbg+SOS调试,sscoree.dll,加载SOS并设置JIT断点
张羿的优快云专栏
05-21 4083
准备工作在经过一番准备之后,现在我们可以开始正式使用WinDbg+SOS调试托管代码了。如果你没有看过前两篇文章,那么请先阅读这两篇文章以对WinDbg+SOS有一个大致的了解。这两篇文章的链接在这里:.NET Rotor源码研究4 – 修改Rotor使其发送CLR Notification:http://blog.csdn.net/ATField/archive/2007/05/21/
CLR探索系列:Windbg+SOS剖析揭示域世界
weixin_34233421的博客
12-12 170
在CLR的世界中,有一系列的令人Amazing的技术和架构。其中,CLR对应用程序在内存中内存分配,执行模型,程序之间的交互等一系列的技术,值得每一个致力于DotNet平台的技术人员深究。编程人员在开发的过程中,如果把程序集的加载(Assemblies Load),反射(Reflection),寄宿(Hosting),应用程序域(AppDomain),这四种技术结合起来使用的话,不仅能更好的使用C...
windbg+sos找出程序中谁占用内存过高,谁占用CPU过高
weixin_30635053的博客
01-23 185
很早看到windbg+sos方面的知识,一直没仔细学习,也许因为自己做的系统还不够复杂,也没线上真实环境查看的权限,一直没学习这方面的知识,最近几天仔细找了这方面的资料,自己也写了个可能造成高CPU高内存的测试web页面,发现确实不错,即使一个生手,也可以用工具连蒙带骗的猜出哪里出了问题,当然对一些命令和内部标示更熟悉了后,可以更好的找出问题所在,非常值得学习。我在使用过程中,也遇到大量问题,比如...
WinDbg+VMware调试驱动.pdf
10-14
### WinDbg+VMware 调试驱动知识点解析 #### 一、WinDbg简介与下载 **WinDbg**是一款由微软提供的强大且免费的调试工具,它支持用户模式和内核模式下的应用程序及驱动程序调试。该工具不仅功能全面,而且易于使用...
WinDbg+VMware 调试驱动
谈成(C/C++)
04-25 786
一、环境准备 1.WinDbg 2.VMware虚拟机(这里使用xp系统) 二、配置VMware 1.首先选择windows XP的虚拟机,要处于关机状态。 2.然后“编辑虚拟机设置”->“添加”->“串行端口”->“输出到命名管道”。在命名管道这里需要选择“另一端是应用程序”,并且勾选“启动时连接”。详细如下图: 最后点击“完成”。 3.此时的VMware硬件配置完成,但还需要在系统中配置调式模式。这样在系统启动时,才可以被WinDbg连接。 三、配置Windows XP系统,开
Windbg+SOS命令大全:深入CLR对象与堆栈检查
"windbg+sos帮助文档" 是一个PDF文档,主要涵盖了使用Windbg调试器与SOS扩展命令在.NET Framework 2.0环境下的各种功能和操作。该文档由Charles Ju整理,包含了对象检查、代码和堆栈分析、CLR数据结构检查等多个方面...
wrk源码分析之WinDbg+Bochs调试
03-24
### wrk源码分析之WinDbg+Bochs调试 #### 概述 本文主要针对Windows内核(WRK)的源码分析方法,重点介绍了如何利用WinDbg结合Bochs进行内核级别的调试WinDbg是一款由微软提供的强大调试工具,能够支持对Windows...
WinDbg / SOS Cheat Sheet
01-10 1377
Here are the WinDbg / SOS commands I talked about at Code Camp NY.  These are the basic commands to get you going with WinDbg / SOS. Starting, Attaching, Executing and Exiting
WinDbgSOS扩展命令
weixin_30235225的博客
10-10 198
SOS.dll (SOS debugging extension) The SOS Debugging Extension (SOS.dll) helps you debug managed programs in Visual Studio and in the Windows debugger (WinDbg.exe) by providing information about the i...
windbg加载SOS
a3125504x的博客
09-13 1724
SOS调试扩展让你可以查看在公共语言运行时里面运行的代码的有关信息。例如,你可以使用SOS调试扩展显示托管堆的有关信息,查找堆的错误,显示运行时使用的内部数据类型,以及查看在运行时里面运行的所有托管代码的有关信息。   在调试托管代码时,有两个扩展DLL需要注意,它们分别是SOSSOSEX。   在使用SOS之前,第一步就是要加载SOS。   1、元命令loadby加载SOS   元命令
使用WindbgSoS扩展调试分析.NET程序
figerDeng的专栏
09-26 1068
在博客堂的不是我舍不得 - High CPU in GC(都是+=惹的祸,为啥不用StringBuilder呢?)、 不是我舍不得 - .NET里面的Out Of Memory 看到很多人在问如何分析dump,所以就写下了这篇短文,抛砖引玉。一、安装 DebuggingToolsforWindows: 从以下 Microsoft 网站下载 DebuggingToolsforWindows:http://www.microsoft.com/whdc/devtools/debugging/installx86.
Windbg SOS 加载技巧(.net framwork 2.0)
weixin_30423977的博客
04-07 215
1.打开windbg,加载dump。使用命令确定dump的clr版本:lm vm mscorwks 或者lm vm clr(!eeversion可以查看加载后的sos版本) 2.找到对应的mscorwks.dll文件,命名为:mscordacwks_AMD64_AMD64_2.0.50727.5477.dll mscordacwks_X86_X86_2.0.50727.5477.dll 3....
使用WinDBG + SOS调试.Net程序的一般步骤
04-13 417
1. 加载进程和SOS扩展: a. F6或者使用菜单Files –> Attach to a process…来Attach一个托管进程 b.使用命令.loadby sos mscorwks来加载SOS扩展(注意:.Net1.1时代的SOS扩展已经自带于下载安装的WinDBG中,从.Net2.0以后,SOS扩展已经自带到.Net框架中:C:\WINDO...
Windows调试学习笔记:(一)WinDBG中加载SOS和CLR
ghhong1988的专栏
03-05 1846
  最近产品环境出现了部分服务器当机情况,虽然重启之后问题就不出现了。但本着彻底解决问题的态度,想要找到root cause。多次尝试Visual Studio失败(可能是代码惊醒了优化和签名)之后,决定使用WinDBG调试。于是。。。灾难发生了。   想要一次性成功搭建测试环境,那得靠人品。看来我近来人品积累的不够,不断的有小问题出现。比如加载SOS和CLR,就让我不胜其烦。必须得记下...
Windbg+SOS 分析托管程序
weixin_30493321的博客
09-16 230
转载Juqiang的Basic Windbg系列 代码: 代码 usingSystem;usingSystem.Collections;usingSystem.Text;namespaceSOSBasics{classProgram{staticvoidMain(string[]args){Mat...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值