ERROR: Symbol file could not be found 寒江孤钓<<windows 内核安全编程>> 学习笔记】的更多相关文章

ERROR: Symbol file could not be found 寒江孤钓<<windows 内核安全编程>> 学习笔记

手动下载了Symbols,设置好了Symbols File Path,串口连接上了以后,出现ERROR: Symbol file could not be found, 并且会一直不停的出现windbg endIng Service while Service Started这句话, 但是启动服务,在这里能看到打印输出,但是断点调试窗口出不来 解决方法就是在windbg中敲几行命令,步骤如下: 1. 若符号存在D:\DebugSymbols,输入命令: .sympath SRV*d:\Debug…

Debuggee not connected 寒江孤钓<<windows 内核安全编程>> 学习笔记

双机联调出现的问题 真机系统win7 虚拟机系统xp 安装书中的配置一步一步走,发现最后启动系统后,windbg一直显示 Opened \\.\pipe\com_1Waiting to reconnect... 找了半天,解决方法如下 在Edit virtual machine settings里看下你那个串口是不是叫Serial port 2,如果是,问题就在这里, 就是多了那个2.你把这个串口删掉,然后把那个printer也删掉,然后重新添加一个串口就可以了, 这个时候串口就叫Serial…

指定的服务已标记为删除 寒江孤钓<<windows 内核安全编程>> 学习笔记

运行cmd:"sc delete first" 删除我们的服务之后, 再次创建这个服务的时候出现 "指定的服务已标记为删除"的错误, 原因是我们删除服务之前没有停止服务,解决方法是 "net stop first"…

删除自定义服务 寒江孤钓<<windows 内核安全编程>> 学习笔记

书中第一章 成功启动first服务之后, 发现书中并没有介绍删除服务的方式, SRVINSTW工具中的移除服务功能,也无法找到我们要删除的服务, 于是,搜素了下,发现解决方法如下: 在cmd中输入 "sc delete first" first就是对应的服务名称…

发生系统错误 1275.此驱动程序被阻止加载 寒江孤钓<<windows 内核安全编程>> 学习笔记

安装书中第一章成功安装first服务之后,在cmd窗口使用命令行 "net start first" 时, 出现 "发生系统错误 1275.此驱动程序被阻止加载" 后来多方查找,发现问题 WIN7 X64系统中对驱动程序要求有数字签名,否则无法正常使用 解决方法如下: 64位win7禁用驱动程序签名强制 开机之后在登录等待界面按下F8键,进入Windows系统的高级启动项,我们会发现与原有的XP系统多了一些不同的地方,最后一项中为禁用驱动程序签名强制,按照此项进入系…

无法编译出.sys文件 寒江孤钓<<windows 内核安全编程>> 学习笔记

系统环境:win7 编译环境:Windows Win7 IA-64 Checked Build Environment 按照书中所说的步骤,出现如下问题 后来直接使用光盘源码,编译成功,于是对照源文件, 发现srouces文件中少了TARGETPATH=obj 于是将此句添加至srouces文件末尾,编译还是失败 继续找问题,后来发现build之前将前一次build出来的文件全部删除再build,就成功了 弄习惯c#了,才刚开始弄驱动就觉得忒麻烦,呵呵,坚持就是胜利…

《寒江独钓_Windows内核安全编程》中修改类驱动分发函数

最近在阅读<寒江独钓_Windows内核安全编程>一书的过程中,发现修改类驱动分发函数这一技术点,书中只给出了具体思路和部分代码,没有完整的例子. 按照作者的思路和代码,将例子补充完整,发现将驱动安装在WIN7 32位环境下,键盘失效. 经调试发现,可能的原因是替换了\\Driver\\Kbdclass类驱动的所有分发函数导致,如果只替换分发IRP_MJ_READ的函数,不会有问题,以下为代码 //替换分发函数 来实现过滤 #include <wdm.h> #include <…

EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)

在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB.把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路. 1. 相关阅读材料 <windows 内核原理与实现> --- 潘爱民 <深入解析windows操作系统(第4版,中文版)> --- 潘…

KTHREAD 线程调度 SDT TEB SEH shellcode中DLL模块机制动态获取 《寒江独钓》内核学习笔记(5)

目录 . 相关阅读材料 . <加密与解密3> . [经典文章翻译]A_Crash_Course_on_the_Depths_of_Win32_Structured_Exception_Handling.pdf . < DAY安全: 软件漏洞分析技术> 2. 数据结构分析 二. KTHREAD KTHREAD(内核层线程对象).再次重复说明一点: windows内核中的执行体(ETHREAD, EPROCESS) 负责各种与管理和策略相关的功能,而内核层(或微内核)(KTHREAD,…

IRP IO_STACK_LOCATION 《寒江独钓》内核学习笔记(1)

在学习内核过滤驱动的过程中,遇到了大量的涉及IRP操作的代码,这里有必要对IRP的数据结构和与之相关的API函数做一下笔记. 1. 相关阅读资料 <深入解析 windows 操作系统(第4版,中文版)> --- 9章 <windows driver kit 帮助文档> http://support.microsoft.com/kb/115758/zh-cn  IRP 结构中各地址字段的含义 http://www.programlife.net/io_stack_location-i…