搜索论坛 帖子排序:  Oldest to newest Newest to oldest

2013-12-17, 23:51 下午 卡尔 注册: 2013-12-17 发 贴: 1 没有Exception端口 张老师您好，有幸拜读您的软件调试；遇到几个问题在此向您请教。 1.dt nt!_EPROCESS fffffa800f1f0880 2.我在本地内核调试执行伤处命令后，为什么我看不到书中提到的ExceptionPort呢？和操作系统有关吗？我的是win8 另外，uf kernel32!IsDebuggerPresent提示Couldn't resolve error at 'kernel32!IsDebuggerPresent；但是执行u ntdll!NtReadFile 就没有问题； 我已经reload了符号 3.第三个问题就是我按照书上说的执行了同样的命令，但是windbg显示的内容比书上少；如执行 k 命令， 0:003> k Child-SP          RetAddr           Call Site 0000009c`494df9f8 000007fa`f6f2ade0 ntdll!DbgBreakPoint 0000009c`494dfa00 000007fa`f51f1832 ntdll!DbgUiRemoteBreakin+0x34 0000009c`494dfa30 000007fa`f6ecd609 KERNEL32!BaseThreadInitThunk+0x1a 0000009c`494dfa60 00000000`00000000 ntdll!RtlUserThreadStart+0x1d 在书上的235页 IP 地址: 已记录   报告

2013-12-21, 14:52 下午 格蠹老雷 注册: 2005-12-19 发 贴: 1,303 Re: 没有Exception端口 1, 关于ExceptionPort，看了下Windows 8.1，是有一点变化，字段的名字变了，而且似乎有三个字段： kd> dt _EPROCESS 8541b880 -ny Exception ntdll!_EPROCESS    +0x0e8 ExceptionPortData : 0x8343d3f0 Void    +0x0e8 ExceptionPortValue : 0x8343d3f0    +0x0e8 ExceptionPortState : 0y000 但从字段的偏移可以看出，显然是定义成一个Union 观察其中的值： kd> !object 0x8343d3f0 Object: 8343d3f0  Type: (83497ea0) ALPC Port     ObjectHeader: 8343d3d8 (new version)     HandleCount: 1  PointerCount: 95     Directory Object: 82564ad0  Name: ApiPort   仍然是ALPC端口，交给!alpc命令解析一下：   kd> !alpc /p 0x8343d3f0 Port  8343d3f0   Type                      : ALPC_CONNECTION_PORT   CommunicationInfo         : 8f0eb910     ConnectionPort          : 8343d3f0 (ApiPort)     ClientCommunicationPort : 00000000     ServerCommunicationPort : 00000000   OwnerProcess              : 84c57040 (csrss.exe)   SequenceNo                : 0x0000072B (1835)   CompletionPort            : 00000000   CompletionList            : 00000000   ConnectionPending         : No   ConnectionRefused         : No   Disconnected              : No   Closed                    : No   FlushOnClose              : Yes   ReturnExtendedInfo        : No   Waitable                  : No   Security                  : Static   Wow64CompletionList       : No     2 thread(s) are waiting on the port:       THREAD 834a4440  Cid 0164.018c  Teb: 7ff8c000 Win32Thread: 8c67da18 WAIT     THREAD 834c5040  Cid 0164.01d4  Teb: 7ff8f000 Win32Thread: 8c67e650 WAIT     Main queue is empty.       Large message queue is empty.       Pending queue is empty.       Canceled queue is empty. 监听这个端口依然是csrss.exe进程，所以实质上没什么变化。 问题2，Win7做了一次DLL重构，本来在kernel32中的代码移入到了kernelbase，kernel32中做一个长跳转： 0:001> u kernel32!IsDebuggerPresent  kernel32!IsDebuggerPresent: 75d44a04 ff25940dd475    jmp     dword ptr [kernel32!_imp__IsDebuggerPresent (75d40d94)] 0:001> u KERNELBASE!IsDebuggerPresent KERNELBASE!IsDebuggerPresent: 74f3377c 64a118000000    mov     eax,dword ptr fs:[00000018h] 74f33782 8b4030          mov     eax,dword ptr [eax+30h] 74f33785 0fb64002        movzx   eax,byte ptr [eax+2] 74f33789 c3              ret 问题3，事物无时无刻不在运动变化着，花几分钟浏览下《周易》的简介... IP 地址: 已记录   报告

高端调试 » 软件调试 » Windows内核调试 » 没有Exception端口

请选择 论坛首页 |- 论坛搜索 |- 热门主题 |- 未回复的主题 用户选项 |- 登录 |- 注册 |- 找回密码 软件调试 |- Windows内核调试 |- C/C++本地代码调试 |- .Net程序调试 |- 脚本程序调试 |- Java程序调试 |- Linux内核调试 |- 《程序员》杂志调试专栏 |- WinDbg |- GDB |- 远程调试 |- 调试ACPI和BIOS |- 特殊的调试任务 |- 转储分析 |- GDK7 内核探秘 |- Windows内核 |- Linux内核 系统架构 |- CPU架构 |- PCI/PCI Express架构 程序人生 |- 软件物语 |- 社区活动 |- 名人逸事 联盟论坛 |- 欢迎使用CnForums 没有银弹 |- BUG也精彩 |- 豆腐工程 |- 软件圈里十大怪 Windows Vista |- 用调试利剑剖析VISTA内幕 |- 老专家如何破解新问题 |- 我的电脑谁说了算？ |- 资源 Office开发 |- Visio 驱动程序开发 |- Windows驱动开发 |- Linux驱动开发 |- Windows CE驱动开发 用户态开发 |- Windows本地代码（native）高级开发 |- Web应用开发 |- WinFX和.Net |- Office开发 本站建设 |- 高端调试团队 |- 版面布局 |- 活动建议 |- 网站维护 64位计算 |- 64-bit Windows |- 64-bit CPU 图书 |- 《软件调试》的示例程序 |- 《软件调试》的工具 |- 《软件调试》书友 |- 《软件调试》答疑 |- 《软件调试》勘误和意见 |- 《格蠹汇编》 |- 《软件调试》第二版卷1 |- 《软件调试》第二版卷2 云计算 |- IaaS |- 云存储 |- 大数据 |- PaaS和SaaS GPU |- CUDA |- OpenCL |- HSA |- 游戏开发与调试