搜索论坛 帖子排序:  Oldest to newest Newest to oldest

2009-03-23, 20:52 下午 merry 注册: 2008-09-26 发 贴: 61 请教在学习《软件调试》P180中遇到的问题 OS:win XP sp2 CPU: Intel Dual 2.0G Hi!Raymond,    猜测你最近很忙，最近一周没来过，今天看到你来了，很高兴:)   在学习《软件调试》中遇见几个问题，特请教，谢谢！     Q1:《软件调试》p179提到sysenter和sysexit两个指令，在GDT中各有两个描述符，我用windbg的命令         dg 0 100     想查看书中所提到的这四个描述符，但是我没法从输出结果中辨认出这四个描述符，请问该如何确认？   Q2:《软件调试》p179提到系统会用cpuid指令来选择是使用sysenter,或是int 2e    请问在windbg是否能够使用cpuid指令，并根据使用cpuid指令的结果以能够再现系统选择sysenter或int 2e的过程？   Q3:学习《软件调试》p180的实验中，在我电脑上反汇编ntReadFile和systemcallstub，ntReadFile反汇编的结果基本和书上一致，但是systemcallstub反汇编的结果却截然不同，没有出现sysenter指令，如下所示： kd> u ntdll!ntReadFile ntdll!ZwReadFile: 7c92e27c b8b7000000      mov     eax,0B7h 7c92e281 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300) 7c92e286 ff12            call    dword ptr [edx] 7c92e288 c22400          ret     24h 7c92e28b 90              nop ntdll!NtReadFileScatter: 7c92e28c 90              nop 7c92e28d 90              nop 7c92e28e 90              nop kd> u systemcallstub SharedUserData!SystemCallStub: 7ffe0300 8beb            mov     ebp,ebx 7ffe0302 92                xchg    eax,edx 7ffe0303 7c94            jl      SharedUserData+0x299 (7ffe0299) 7ffe0305 eb92            jmp     SharedUserData+0x299 (7ffe0299) 7ffe0307 7c00            jl      SharedUserData!SystemCallStub+0x9 (7ffe0309) 7ffe0309 0000            add     byte ptr [eax],al 7ffe030b 0000            add     byte ptr [eax],al 7ffe030d 0000            add     byte ptr [eax],al 另外,反汇编u nt!kifastcallentry l20 时与书上的结果也不同，请问原因？ 谢谢！      IP 地址: 已记录   报告

2009-03-24, 00:00 上午 格蠹老雷 注册: 2005-12-19 发 贴: 1,303 Re: 请教在学习《软件调试》P180中遇到的问题 Q1，即下面这四个： 0008 00000000 ffffffff Code RE Ac 0 Bg Pg P  Nl 00000c9b 0010 00000000 ffffffff Data RW Ac 0 Bg Pg P  Nl 00000c93 0018 00000000 ffffffff Code RE Ac 3 Bg Pg P  Nl 00000cfb 0020 00000000 ffffffff Data RW Ac 3 Bg Pg P  Nl 00000cf3 Q2，WinDBG中可以使用!cpuinfo命令获取CPU信息，不可以直接执行cpuid指令。 kd> !cpuinfo CP  F/M/S Manufacturer  MHz PRCB Signature    MSR 8B Signature Features  0  6,13,8 GenuineIntel  843 0000000000000000  0000000000000000 00013bbf Q3，注意上面call后面是函数指针，因此应该先用dd 7ffe0300显示出函数地址，然后再反汇编，这应该是XP SP2引入的变化。 书上是XP SP1或者以前的情况： kd> version Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Built by: 2600.xpsp1.020828-1920 kd> u 77f761e8 77f761e8 b8b7000000      mov     eax,0B7h 77f761ed ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300) 77f761f2 ffd2            call    edx ；；；这里不同 77f761f4 c22400          ret     24h   IP 地址: 已记录   报告

高端调试 » 软件调试 » WinDbg » Re: 请教在学习《软件调试》P180中遇到的问题

请选择 论坛首页 |- 论坛搜索 |- 热门主题 |- 未回复的主题 用户选项 |- 登录 |- 注册 |- 找回密码 软件调试 |- Windows内核调试 |- C/C++本地代码调试 |- .Net程序调试 |- 脚本程序调试 |- Java程序调试 |- Linux内核调试 |- 《程序员》杂志调试专栏 |- WinDbg |- GDB |- 远程调试 |- 调试ACPI和BIOS |- 特殊的调试任务 |- 转储分析 |- GDK7 内核探秘 |- Windows内核 |- Linux内核 系统架构 |- CPU架构 |- PCI/PCI Express架构 程序人生 |- 软件物语 |- 社区活动 |- 名人逸事 联盟论坛 |- 欢迎使用CnForums 没有银弹 |- BUG也精彩 |- 豆腐工程 |- 软件圈里十大怪 Windows Vista |- 用调试利剑剖析VISTA内幕 |- 老专家如何破解新问题 |- 我的电脑谁说了算？ |- 资源 Office开发 |- Visio 驱动程序开发 |- Windows驱动开发 |- Linux驱动开发 |- Windows CE驱动开发 用户态开发 |- Windows本地代码（native）高级开发 |- Web应用开发 |- WinFX和.Net |- Office开发 本站建设 |- 高端调试团队 |- 版面布局 |- 活动建议 |- 网站维护 64位计算 |- 64-bit Windows |- 64-bit CPU 图书 |- 《软件调试》的示例程序 |- 《软件调试》的工具 |- 《软件调试》书友 |- 《软件调试》答疑 |- 《软件调试》勘误和意见 |- 《格蠹汇编》 |- 《软件调试》第二版卷1 |- 《软件调试》第二版卷2 云计算 |- IaaS |- 云存储 |- 大数据 |- PaaS和SaaS GPU |- CUDA |- OpenCL |- HSA |- 游戏开发与调试