Re: 疯了，内核调试的问题

Windows内核调试

疯了，内核调试的问题

---

sgyhm 2007-06-24, 09:22 上午

第一次内核调试，windbg真不方便。

是这样的，我本来是想看看copy on write到底是怎么产生的，

该死这条API进入内核态，WriteProcessMemory。

我本来想跟进取看看，没办法只能进入内核调试了。

谁知道我在本机键入.breakin以后，

唉windbg help要我什么切换process context, regist context等等，

我只想问下我到底要怎么做，看不懂，太多context,能不能给个步骤，1，2，3，4我应该怎么做？

其实我已经通过.process 切换了进程上下文，kb以后发现堆栈还是不对，跟我在用户态的堆栈不一样。

根本不知道去了哪里。

 

谢谢。

 

Re: 疯了，内核调试的问题

---

土豆泥 2007-06-25, 13:00 下午
每个线程在内核态执行时都使用他的内核态栈，所以你看到的是应该和用户态看到的不一样呀。

Re: 疯了，内核调试的问题

---

sgyhm 2007-06-25, 13:53 下午
是么，那我要怎么样才能确认我看到的堆栈是正确的呢？
其实我不是很明白，我切换了进程上下文，windbghelp说还有什么线程上下文，寄存器上下文，
原文是thread context, regist context, local context,
我到底要切换几个上下文？单线程下是不是只要切换进程上下文就足够了，我如何判断我或得的堆栈是正取得，
我举个例子，我明明在一个api:writeprocessmemory下，
我下step F11跟进去看，没办法进入内核态了，只能breakin,接着我看到的就是乱气八糟的东西，我是说不像一条不进入内核态的函数那么规范，
我在内核调试下怎么样调试呢，我如何才能F11跟下去，因为我一旦breakin 以后好像整个世界都变了，不像普通调试那么容易。
可能说得很模糊不好意思。

Re: 疯了，内核调试的问题

---

skyworth 2008-06-27, 20:30 下午
每个进程都对应着一个或者多个线程，每个线程都有自己的上下文，同时，在执行的时候，每个函数调用都有自己的上下文，所以，你要观察，就必须把相应的上下文都切换对了。

Re: 疯了，内核调试的问题

---

王宇 2008-06-29, 13:17 下午
下 nt!NtWriteVirtualMemory 的断点再分析相应参数，精细一点的话可能要写点控制语句 / 脚本。

另外，进入内核之类的语句也很规范啊，双机调试下 rdmsr 176 可以找到 sysenter 切换的目标，堆栈切换处理亦没什么大碍。详细的信息可以参见OSR的这篇文章：《Nt vs. Zw - Clearing Confusion On The Native API》，不过文章的平台是 Win-XP-SP1，没有DEP，所以在看这句指令的时候是不一样的：
77f761ed ba0003fe7f mov edx,0x7ffe0300
77f761f2 ffd2 call edx

文章的最后还提到了上下文切换对句柄的影响，另 MJ 提过怎么过 ProbeForRead / ProbeForWrite。


关于“上下文”的更多描述可以参看OSR的这篇文章：《Understanding and Using Execution Context in Windows NT Drivers》，不过这篇适合一边调试 Sioctl.sys 一边阅读。其实掌握 Neither IO 的安全写法这篇文章的目的就达到了。