我们在感叹Onlydbg强大与便利的同时,是否考虑过它实现的原理呢? 作为一个技术人员知其然必知其所以然,这才是我们追求的本心. 最近在学习张银奎老师的<软件调试>,获益良多.熟悉Windows调试机制,对我们深入理解操作系统以及游戏保护的原理有着莫大好处. 0X01 初探调试原理 调试系统的实现思路如图所示: 调试器与被调试程序建立联系,程序像调试器发送调试信息,调试器暂停程序处理完调试信息后再恢复程序运行,如此周而复始. 下面我们看看如何用操作系统提供的API去实现一个简单的调试器. //…

#include <stdio.h> int main( void) { ; a=fun(,); printf("%d\n",a); } int fun(int a,int b) { return a+b; } test.cgcc -g test.c 生成 a.out ---------------------------------- 用SecureCRT 创建两个会话到 redhat 5.3,我已经升极内核到3.5,支持用户态调试 session 1 1.执行 stap…

操作系统:windows XP 调试器通过CreateProcess传入带有DEBUG_PROCESS和DEBUG_ONLY_THIS_PROCESS的dwCreationFlags创建被调试进程.这种情况下,进程创建的早期(执行NtCreateProcess或NtCreateProcessEx之前),调用DbgUiConnectToDbg()使调用线程和调试子系统建立连接.DbgUiConnectToDbg()内部调用ZwCreateDebugObject创建一个DEBUG_OBJECT内核对…

简介 允许用户模式调试工作的内部机制很少得到充分的解释.更糟糕的是,这些机制在Windows XP中已经发生了根本性的变化,当许多支持被重新编写时,还通过将ntdll中的大多数例程作为本地API的一部分,使更多的子系统变得可移植.希望读者对C和通用NT内核体系结构和语义有一些基本的了解.此外,这并不是介绍什么是调试或如何编写调试器.它可以作为经验丰富的调试器编写人员或好奇的安全专家的参考. Win32 Debugging NT的Win32子系统从第一个版本开始就允许对进程进行调试,随后的版本添加…

一:背景 一直在用 WinDbg 调试用户态程序,并没有用它调试过 内核态,毕竟不是做驱动开发,也没有在分析 dump 中需要接触用内核态的需求,但未知的事情总觉得很酷,加上最近在看 <深入解析 Windows 操作系统> 一书,书中有不少案例需要深入到 内核态 ,所以这篇准备整理一下如何用 WinDbg 调试 C# 内核态吧. 操作环境: Windbg Preview 宿主机:Windows 10 虚拟机:Windows 10 二:搭建内核态调试 1. 基本原理 操作系统的引导程序 Boot…

熟悉Linux的开发人员都知道,在Linux下开发程序,如果程序崩溃了,可以通过配置Core Dump,来让程序崩溃的瞬间产生一个Dump文件,然后通过dump文件来调试程序为什么崩溃.但是windows下就比较麻烦. windows下配置用户态程序的Dump非常麻烦, https://msdn.microsoft.com/en-us/library/windows/desktop/bb787181(v=vs.85).aspx 上面那个链接说了一堆,反正我没有细看.来看经过搜索,发现StackO…

漏洞编号:MS12-042 披露日期: 2012/6/12 受影响的操作系统:Windows 2000;XP;Server 2003;windows 7;Server 2008; 测试系统:windows 7 x64   利用网上现有的提权工具 测试 运行test.exe 列出进程id y也可以直接调出任务管理器去找 pid=3996 在执行 sysret.exe -pid 3996   要保证MinHook.x64.dll 在当前目录 此时多了一个用户luoye net user  luoye…

[root@localhost ~]# cat test.c #include <stdio.h> int main( void) { int a=0; a=fun(10,20); printf("%d\n",a); } int fun(int  a,int b) {   return a+b; } stap -e 'probe process("a.out").function("fun") { log($$parms) }' a=…

[root@localhost ~]# cat user.stpprobe process(@1).function(@2){print_ubacktrace();exit();} session 1 执行 stap user.stp "./a.out" "fun" session 2 执行 [root@localhost ~]# ./a.out session 1中打印显示结果 0x4004f9 : fun+0xb/0x12 [/root/a.out] 0x400…

先开启真机内核态kernel调试 !process 0 0 svchost.exe 找到进程cid的地址 然后进入 .process /p  fffffa8032be2870 然后 .process /i; g 再次中断后继续 一定要重新加载用户态调试符号 .reload /f /user 或者 .process /r /p  fffffa8032be2870 先下一个kernel32断点 bp /p fffffa8032be2870 kernel32!createfilew 然后下任意断点 b…