Windbg远程调试(MSDN翻译)

WinDbg

  

2019-09-28 22:43:27

使用Windbg进行远程调试 远程调试是需要又在不同位置上的调试器。执行真正调试称为调试服务器,另外一个,被称为,调试客户端。调试客户端,控制着一个与远程调试器相应的是会话。为了建立调试服务器,然后再打开调试客户端。 被调试的代码可以运行在调试服务器的同一台机器上,或者是运行在独立的机器上。如果调试服务器作为用户调试模式,这是被调试的进程能够运行在调试服务器所在的机器上。如果调试服务器作为内核调试...

Windbg分析高内存占用问题

WinDbg

  

2020-07-12 09:25:00

作者:『圣杰』 出处:http://www.cnblogs.com/sheng-jie/ 本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接,否则保留追究法律责任的权利。 1. 问题简介 最近产品发布大版本补丁更新,一商超客户升级后,反馈系统经常奔溃,导致超市的收银系统无法正常收银,现场排队付款的顾客更是抱怨声声。为了缓解现场的情况, 客户都是手...

转载自:https://www.anquanke.com/post/id/179748 《Dive into Windbg》是一系列关于如何理解和使用Windbg的文章,主要涵盖三个方面: 1、Windbg实战运用,排查资源占用、死锁、崩溃、蓝屏等,以解决各种实际问题为导向。 2、Windbg原理剖析,插件、脚本开发,剖析调试原理,便于较更好理解Windbg的工作机制。 3、Windbg后续思考,...

1.推荐一个插件blwdbgue.dll 用来标记相同地址或者寄存器 安装pykd,具体可以参照其他博客 上次写到利用非挥发性寄存器寻找一些参数或者变量:windbg 调试bug 因为每个函数调用修改非挥发性寄存器都会push和pop,所以我们利用python来找到那个帧里面修改了寄存器。 输入: 需要寻找的寄存器 输出:列出每个帧是否有使用此寄存器 如图: 按照上次讲的方式,来获取r14的值 主...

windbg 内存搜索 s

windbg  内存搜索  s  

  

2020-07-24 16:38:37

s 内存搜索。 具体更复杂的的s命令可以通过.hh查看该命令具体介绍。 索索指定范围内的字符串 eg:搜索起始地址为00fc0000 ,长度为0x100范围内的ansi字符串 s -sa 00fc0000 00fc0010 s -sa 00fc0000 L?0x100 eg:搜索起始地址为00fc0000 ,长度为0x100范围内的OS字符串 s -a 00fc0000 0x00fc0100 &q...

调试DLL卸载时的死锁

windbg  DLL卸载死锁  

  

2020-08-17 07:43:26

转载原文:https://zhuanlan.zhihu.com/p/90591425 在使用Windbg实战的时候发现系统的pdb始终无法下载下来,发现是微软弃用了pdb从符号服务器下载的模式。具体怎么解决方案还没找到。不过windbg preview 的确很好用,集成了windbg的所有功能,界面也更友好一些。 Dll死锁根本原因是因为FreeLibrary的时候会触发DllMain的DLL_P...

windbg符号路径设置

windbg  pdb  symbol  符号

  

2019-06-17 04:19:17

0x00 前言 windbg没有引入符号文件(pdb)会导致系统库上的变量,堆栈等信息无法显示。 0x01 简介 PDB(Program Database),是微软开发的用于存储程序调试信息的文件格式。pdb文件是由源码在编译期生成,存储了源文件名称,变量名,函数名,FPO(帧指针),对应行号等信息。由于体积庞大,同时出于安全性考虑,可运行程序exe或者dll文件都是无符号的。 在windbg中运...

0x00 前言 总体来说,坑不多,走下来很平坦。毕竟只是简单的整数溢出漏洞,没有太多知识点。 0x01 简介 Foxit Reader 在2018年5月18日的安全公告中提及修复了因恶意调用特定函数,导致程序可能遭受堆缓冲区溢出远程代码执行漏洞攻击的问题(CVE-2017-17557/ZDI-CAN-5472/ZDI-CAN-5895/ZDI-CAN-5473。 受影响版本为Foxit Reade...

windbg 初始断点

windbg  初始断点

  

2019-06-19 09:41:31

1.什么是初始断点? 2.Windbg初始断点触发 为了给我们提供更好的调试机会,所以windbug在调试的时候首先会触发初始断点。 file=>Open Executeable 此时触发了INT 3断点,我们可以查看模块加载信息,和调用堆栈,预设断点等操作。然后执行g命令,运行程序。 此时断点已经触发。 3.如果32位程序在64位机器上运行会怎么样? 依然会产生中断3,但是child-sp...

前言 Windbg简单来说就是一个Windows下对用户态/内核态的程序进行调试,以及对Core Dump文件的分析。对于Crash,资源泄露,死锁等问题的分析,Windbg是一个强有力的利器。 一、下载 微软官网提供的Windbg为windows10版本,win7下不能使用。Win7下使用Windbg需要通过Windows SDK下载,下载链接为//www.microsoft.com/downl...

0x00 shellcode 这段是楼主最近在看历史中的exp时发现的shellcode,功能是弹计算器,在09年时使用很广泛,但是没有找到相关的分析文献,准备有时间研究下。 放一张全景图: 这里使用3种方法转换shellcode: 1. windbg工具转换shellcode 2. linux下转换shellcode 3. ollydbg工具转换shellcode 0x01 windbg工具转换...