随笔分类 -  调试

摘要：一、前言 堆对于开发者一般来说是熟悉又陌生的，熟悉是因为我们常常使用new/delete或者malloc/free使用堆，陌生是因为我们基本没有去了解堆的结构。堆在什么地方？怎么申请？怎么释放？系统又是怎么管理堆的呢？ 带着疑问，这两天看了<软件漏洞分析技术>与<漏洞战争>中关于堆的说明，终于对于堆 阅读全文

摘要：一、下载WDK10 https://developer.microsoft.com/zh-cn/windows/hardware/windows-driver-kit 安装Windows驱动程序工具包(WDK) 10 这里可以直接安装，也可以下载安装包，我选择下载，选择路径，下一步。 下载好之后我们 阅读全文

摘要：0x01 前言 Windows 64位下函数调用约定变为了快速调用约定，前4个参数采用rcx、rdx、r8、r9传递，多余的参数从右向左依次使用堆栈传递。本次文章是对于Windows 64位下函数调用的分析，分析各种参数情况下调用者和被调用函数的栈结构。 0x02 4参数时函数调用流程 64位下函数 阅读全文

摘要：对于CPU级的异常，CPU会通过IDT表寻找异常的处理函数，也就是KiTrapXX例程，会调用CommonDispatchException准备参数，然后调用内核分发函数KiDispatchException进行异常分发。 下面的图是内核异常分发总管KiDispatchException处理的流程。 阅读全文

摘要：一、实现单步 通过设置TF标志位，每次执行都会在下一个指令的时候断下来，断点在恢复后重新设置也需要使用这个标志位 二、实现步出 步出则是在ebp+4的地址设置断点，ebp+4保存的就是该函数的返回地址，也是上一个函数call指令的下一条指令 三、步过的实现 步过则是获得下一条指令长度，在下下条指令下 阅读全文

摘要：参考 这两天对某P双机调试的学习及成果 ，非常好的一篇分析贴。 本文在Win7 x86下的分析，在虚拟机中以/DEBUG模式启动TP游戏，系统会自动重启。 0x01 内核调试全局变量 根据软件调试第十八章，windows启动过程中会调用两次KdInitSystem()函数 第一次调用KdInitSy 阅读全文

摘要：一、前言 对于IDT第一次的认知是int 2e ，在系统调用的时候原来R3进入R0的方式就是通过int 2e自陷进入内核，然后进入KiSystemService函数，在根据系统服务调用号调用系统服务函数。而2e就是IDT（系统中断描述符表）中的索引位2e的项，而KiSystemService就是该项 阅读全文

摘要：一、前言 上篇链接 简易调试器的实现(一) 先说一下上次对于软件断点CC还原的位置，int 3断点，属于陷阱类异常，恢复的地方应该是发生异常指令的下一条指令，但是我们在收到信息的时候FirstChance的时候是下一条，在第二次的时候却是断点发生的地方。最近看了下<软件调试>得到了解释 首先写个小程 阅读全文

摘要：一、前言 看过SEH结构化异常处理，看了<软件调试>这本书，觉得调试真是一件特别棒的事情，于是在网上搜索调试器怎么做，前人种树，后人庇荫。 程序为MFC界面，VS2010开发 二、实现思路 1.调试对象为windows下32位程序，故对于PE文件判断是否符合 2.创建被调试进程，传入DEBUG_ON 阅读全文