| 共 55 篇文章 |
|
// 2) not debugging // go to normal code handler: mov eax, dword ptr ss:[esp+0xc] mov ebx, normal_code mov dword ptr ds:[eax+0xb8], ebx xor eax, eax retn normal_code: // remove SEH pop dword ptr fs:[0] add esp, 4 ... 阅217 转2 评0 公众公开 21-11-14 18:26 |
3、X modulename!symbols(命令):显示出所有的Symbols数据或者是指定模块的Symbols数据。export:没有对应的symbol文件,目前只能把dll或exe文件当做symbol来加载 private:表示加载的是私有的Symbol public:表示加载的是共有的Symbol .reload(命令):重新加载Symbol 当有些时候我们已经加载了symbol,但是该文件不存在,这... 阅327 转2 评0 公众公开 21-11-14 17:41 |
双机调试和windbg的命令。(1) windbg命令分为标准命令,元命令和扩展命令。load wow64exts] 加载wow64exts.dll模块 注:!sw就是wow64exts中的命令。除了使用ld和.reload命令直接加载符号文件,某些使用符号的命令也可以触发调试器来加载符号,如:栈回溯命令(k*)和反汇编命令(u)等。值得说明的是,windbg缺省使用的是懒惰式符号加载策略,当它... 阅154 转1 评0 公众公开 21-11-14 17:35 |
阅26 转1 评0 公众公开 21-11-14 16:37 |
如果导出函数的声明用__declspec(dllimport) 修饰的话,编译器就知道这个函数是DLL导出函数,就将这个函数调用直接编译成对IAT中对应项的调用,而在连接阶段,连接器对IAT中对应项的符号解析成一个函数,这种情况下就没有使用存根函数的必要了。应用程序的IAT中填充的并不是DLL中导出函数的真实地址,而是在处于DLL中的又一个"存根函数&qu... 阅37 转3 评0 公众公开 21-11-14 16:09 |
_tmain和main的区别_kucoffee12的博客 1. Main是所有c或c++的程序执行的起点,_tmain是main为了支持unicode所使用的main的别名。 阅13 转1 评0 公众公开 21-11-14 14:55 |
如上面这样的代码,原因为:创建线程后返回了线程句柄,新创建的线程内核对象的使用计数是2,一个是线程本身,一个是创建线程的线程,创建线程的线程closehandle后,新的线程的内核对象使用计数为1,当这个新线程结束运行后内核对象的使用计数还要减1,这时内核对象的使用计数是0,则系统会自动删除新线程的内核对象,这是正常的处理流程。 阅6 转1 评0 公众公开 21-11-14 14:47 |
Windbg提示:KN、.Frame、DV和DT.Kn将显示当前调用堆栈,并在单个调用的最左边包含堆栈帧编号。这将转储调用堆栈,如您所见,在最左边的每个调用都有堆栈帧号。使用上面堆栈中的堆栈帧2,让我们看看它使用的局部变量。此外,因为我已经在堆栈帧上下文中,所以我可以简单地dt(display type)加上变量的名称,调试器就可以算出地址。 阅58 转1 评0 公众公开 21-11-13 13:30 |
ACPI是什么意思 开启acpi有什么作用?不少新手对ACPI都是一头雾水,不知道这个功能有什么作用,对于ACPI功能最常见的实例就是,如果xp系统在主板bios硬盘模式开启acpi,就会出现蓝屏并无法进去系统中,只有将硬盘模式修改IDE才可以,那么ACPI是什么意思?ACPI是Windows的一部分(Win98开始),它帮助操作系统合理控制和分配计算机硬件设备的电量... 阅138 转1 评0 公众公开 21-11-13 13:19 |
PCR和PRCB.在Ring0下,fs指向PCR,而PRCB是PCR的一个扩展。pcr KPCR for Processor 0 at ffdff000: Major 1 Minor 1 NtTib.kd> r fs fs=00000030 kd> dg 30 P Si Gr Pr Lo Sel Base Limit Type l ze an es ng Flags ---- -------- -------- ---------- - -- -- -- -- -------- ... 阅72 转1 评0 公众公开 21-11-13 13:06 |
