约有 61 项符合查询结果, 以下是第 1 - 7项。
费时 < 1 秒。
运行如下script, 发现一个问题:0:000>.while (@eax=0xf) { .if (@edx>0x20000) {.echo ####;r @edx;r @eip} .else {.echo !!!!;r @edx ;r @eip};p}!!!!edx=00000000eip=7c801a29!!!!edx=00000000eip=7c801a2!!!!edx=00d2a113 <=== 这时@edx已经大于0x20000, 却仍然走.else分支, 为什么?eip=7c801a31####edx=00d2a113eip=7c801a33请问这是什么原因引起, 该如何修改script以避免该问题?谢谢!
Posted in Windows内核调试
by
merry
on 2012-08-16
在网上查询到使用下面命令对DLL加载时产生中断: sxe ld [模块名] 可是,一个程序用Windbg-->''open executable...''加载后,还没来得及对目标dll下断点,程序就加载完所有dll(例如:ntdll.dll)一路跑到ntdll!DbgBreakPoint。因找不到什么办法只好用命令行:windbg -c ''sxe ld XXX ;g'' 程序名.exe可是感觉这样做不是很方便(在命令行和windbg窗口之间来回切换),所以想问一下是否有更简便的方法?谢谢!
Posted in Windows内核调试
by
merry
on 2010-12-22
在软件调试一书中(第25章),提到了用dt Image_DOS_HEADER XXXXXXXX 等查看PE文件的一些信息。请问如何用windbg查看PE文件的节信息 (例如: .rsrc .text的起始地址、大小等),有哪些方法?谢谢!
Posted in Windows内核调试
by
merry
on 2010-12-12
如下一段常见的Javascript的spray heap代码,想分析一下它的内存分配方式, <script> ... function spray_heap() { var payload = ...
Posted in WinDbg
by
merry
on 2009-10-21
在调试IE浏览器时,希望找到IE heap header的size,但是不知从何开始?希望各位老师给予帮助,谢谢!
Posted in WinDbg
by
merry
on 2009-08-05
MJ0011所给出的位置与文章《System Call Optimization with the SYSENTER Instruction》(http://www.codeguru.com/cpp/w-p/system/devicedriverdevelopment/article.php/c8223 )提到的位置一致。 但我个人认为Raymond、王宇所给出的位置是正确的,但我无法确认。 如有人知道,望告知!
Posted in Windows内核调试
by
merry
on 2009-06-08
原链接:http://advdbg.org/forums/2408/ShowPost.aspx
MJ0011:{ Standard (Intel) Feature Flags } ...SEP_FLAG = $00000800; // Fast System Call 第11位
Raymond、王宇:// Kernel Feature Bits#define KF_FAST_SYSCALL 0x00001000 //第12位
MJ0011和Raymond、王宇给出的Fast System Call的位置是不一样的。Q:请问这是什么原因,那种形式是正确的?
Posted in Windows内核调试
by
merry
on 2009-06-07
可以看出指令sysenter是由系统的KiFastSystemCall函数的调用的,ntdll!KiFastSystemCall:7c92eb8b 8bd4 mov edx,esp7c92eb8d 0f34 sysenter
Q:指令sysexit是由系统的什么函数调用的?
ps.我试着在反汇编native api函数,但没有看到这个指令被调用。
Posted in Windows内核调试
by
merry
on 2009-06-07
Quote: ret是回到用户态的父函数
ret应该是回到用户态ntdll导出的函数, 对吗?
另外,请问指令sysexit是由什么函数调用?
Posted in Windows内核调试
by
merry
on 2009-06-03
系统调用过函数kifastsystemcall后,在栈中会看到函数kifastsystemcallret,我原以为这个函数应包含sysexit指令,没想到却是ret指令。
lkd> u ntdll!kifastsystemcallretntdll!KiFastSystemCallRet:7c92eb94 c3 ret
Q:请问这是什么原因?谢谢!
Posted in Windows内核调试
by
merry
on 2009-06-03