搜索论坛 帖子排序:  Oldest to newest Newest to oldest

2009-02-10, 22:23 下午 格蠹老雷 注册: 2005-12-19 发 贴: 1,303 Re: 如何利用windbg+vm动态跟踪NtDeleteFile函数执行的全过程 f98b2000真的不是驱动对象呀，根据lm命令的结果，这是ntfs模块的起始地址。 两次的提示信息不一样，导致的原因也不一样。 第一次的提示信息是没有找到叫那个名字的驱动模块。执行!drvobj aaaaa得到的提示信息也是那一句。 第二次的提示信息是找到模块了，但是没有找到这个模块的驱动对象。这通常是因为加载的扩展命令模块与调试目标的内核版本不匹配。像!drvobj这样的扩展命令是与内核版本有关的。仔细观察WinDBG的子目录（《软件调试》表29-3 P880），像WinXP、W2KFre、W2KChk这样的目录都是用来存放不同版本的扩展命令的。 建议你执行一下.chain命令，然后再执行一下version命令，把结果贴上来。 IP 地址: 已记录   报告

2009-02-11, 09:02 上午 LOVE 注册: 2009-02-09 发 贴: 4 Re: 如何利用windbg+vm动态跟踪NtDeleteFile函数执行的全过程 换个版本后能找到驱动对象，谢谢Raymond IP 地址: 已记录   报告

2009-02-19, 17:26 下午 MJ0011 注册: 2008-04-24 发 贴: 112 Re: 如何利用windbg+vm动态跟踪NtDeleteFile函数执行的全过程 windbg几个很挫的地方~~ (1),例如我的驱动通常会叫360xxx，比如360safexxx.sys 那么u 360safexx!xxxxx(function name)，那么会告诉我不存在0x360safe!xxx这个提示 -_-!! (2)..process 过去后，PEB，看不了, .process /P,PEB能看了，进程内存看不了, .context pagedir，就能看了。。。可WINDBG手册上明明说这两个是一样的。。 IP 地址: 已记录   报告

2009-02-19, 19:26 下午 王宇 注册: 2007-05-08 发 贴: 306 Re: 如何利用windbg+vm动态跟踪NtDeleteFile函数执行的全过程 0x360... 嘿嘿嘿 受你的影响我现在也觉得 SoftICE 好用了 IP 地址: 已记录   报告

总页数 2 第 2 页 [共有 19 条记录] < 1 2

高端调试 » 软件调试 » Windows内核调试 » Re: 如何利用windbg+vm动态跟踪NtDeleteFile函数执行的全过程

请选择 论坛首页 |- 论坛搜索 |- 热门主题 |- 未回复的主题 用户选项 |- 登录 |- 注册 |- 找回密码 软件调试 |- Windows内核调试 |- C/C++本地代码调试 |- .Net程序调试 |- 脚本程序调试 |- Java程序调试 |- Linux内核调试 |- 《程序员》杂志调试专栏 |- WinDbg |- GDB |- 远程调试 |- 调试ACPI和BIOS |- 特殊的调试任务 |- 转储分析 |- GDK7 内核探秘 |- Windows内核 |- Linux内核 系统架构 |- CPU架构 |- PCI/PCI Express架构 程序人生 |- 软件物语 |- 社区活动 |- 名人逸事 联盟论坛 |- 欢迎使用CnForums 没有银弹 |- BUG也精彩 |- 豆腐工程 |- 软件圈里十大怪 Windows Vista |- 用调试利剑剖析VISTA内幕 |- 老专家如何破解新问题 |- 我的电脑谁说了算？ |- 资源 Office开发 |- Visio 驱动程序开发 |- Windows驱动开发 |- Linux驱动开发 |- Windows CE驱动开发 用户态开发 |- Windows本地代码（native）高级开发 |- Web应用开发 |- WinFX和.Net |- Office开发 本站建设 |- 高端调试团队 |- 版面布局 |- 活动建议 |- 网站维护 64位计算 |- 64-bit Windows |- 64-bit CPU 图书 |- 《软件调试》的示例程序 |- 《软件调试》的工具 |- 《软件调试》书友 |- 《软件调试》答疑 |- 《软件调试》勘误和意见 |- 《格蠹汇编》 |- 《软件调试》第二版卷1 |- 《软件调试》第二版卷2 云计算 |- IaaS |- 云存储 |- 大数据 |- PaaS和SaaS GPU |- CUDA |- OpenCL |- HSA |- 游戏开发与调试