约有 15 项符合查询结果, 以下是第 1 - 2项。
费时 < 1 秒。
$spat(\''String \'', \''Pattern \'')String和Pattern后面都加一个空格就行了。
Posted in Windows内核调试
by
Bombs
on 2016-05-06
_declspec(naked)void Mumes(HWND hWnd, LPSTR lpText, LPSTR lpCaption, UINT uType){ g_pfnMsgBox(hWnd, lpText, lpCaption, uType);}该成int WINAPI Mumes(HWND hWnd, LPSTR lpText, LPSTR lpCaption, UINT uType){ return g_pfnMsgBox(hWnd, lpText, lpCaption, uType);}就不崩溃了。Hook有微软提供的Detours库!
Posted in Windows内核调试
by
Bombs
on 2016-02-03
1> .process EPROCESS切换进程上下文2> .reload /user 加载用户层模块符号3> bp /p EPROCESS kernel32!XXX
Posted in Windows内核调试
by
Bombs
on 2015-11-10
看了半天才明白你要表达什么意思。简单点说是:A地址处下了个软件断点,如果代码中有类似jmp dword ptr[ A ]的指令。会导致这条跳转指令跳错位置了!你A地址处用硬件断点就行了。再说了一般不可能有这种代码生成。A地址处有代码,就不会有jmp dword ptr[ A ]这种把代码当数据访问的。如果A处是数据的话。你想下数据访问断点就用硬件断点ba
Posted in C/C++本地代码调试
by
Bombs
on 2015-09-22
刚试了下,确实是这样,貌似是个BUG。不过可以用eb指令替代下:0:000> eb . 68 80 00 00 000:000> u .ntdll!DbgBreakPoint:7c92120e 6880000000 push 80h
Posted in Windows内核调试
by
Bombs
on 2015-08-26
有没有开启页堆或者app verifier? 我今天在调试一个问题的时候有这么一段话,maybe it can help you.APPLICATION_VERIFIER_DOUBLE_FREE (7)Heap block already freed.This situation happens if the block is freed twice. Freed blocks are marked in aspecial way and are kept around for a while in a delayed free queue. If a buggyprogram tries to free the block again this will be caught ...
Posted in C/C++本地代码调试
by
Bombs
on 2015-06-09
菜鸟也来插一句,释放的时候有可能会归到空闲链表里去,也有可能会归到旁视链表里去,若是归到旁视链表里去则其依然是占用状态!
Posted in C/C++本地代码调试
by
Bombs
on 2015-06-04
dump文件没抓错,!chkimg是通过对比内存镜像(dump里面包含的)与本地二进制文件对比来检查的。比如一般API HOOK等也会造成内存与二进制文件不一致。从你这dump来看,有大面积的填0,应该是内存破坏导致的。music二进制文件不一定被破坏了,只是其加载到内存中的镜像被修改了。
Posted in C/C++本地代码调试
by
Bombs
on 2015-06-04
因为你这个系统dll被微软做了性能优化,是为了减少页错误等把代码重排了!用IDA打开你会发现一个完整的函数其代码会被分割成多个代码块放在非连续的地址上。
Posted in C/C++本地代码调试
by
Bombs
on 2015-05-19
只是异常没人处理后弹出个错误对话框而已,跟挂死两码事。那个路径是源代码路径(负责编写这个模块的人机器上的路径,而不是你自己机器的路径)
Posted in WinDbg
by
Bombs
on 2015-05-15