通过USB3.0架设ASL code的WinDbg: 目标机器配置: 1. 获取OS同版本的check build acpi.sys; 2. 替换系统中的acpi.sys(参考:如何替换Windows的系统文件); 3. 重启,如果替换之后进不去OS: (1)在BIOS Setup界面把系统时间设成 ...
分类:
数据库 时间:
2017-10-13 23:49:47
阅读次数:
652
当程序在测试或者老化的时候很有用,只要程序有异常抛出,就能启用windbg调试,这样就能及时的保存现场。 程序崩溃时,windows系统会调用系统默认调试器,其设置在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion ...
分类:
数据库 时间:
2017-10-12 21:37:25
阅读次数:
240
在开启PAE之后,32位的线性地址的结构发生了变化,具体结构如下 30-31位:页目录指针表索引 21-29位:页目录索引 12-20位:页表索引 0-11位:页内偏移 在开启PAE之后,表中地址都是物理地址,所有表项的大小变为8Byte,具体格式如下: 结合Windows Server 2008中 ...
分类:
数据库 时间:
2017-10-11 20:20:52
阅读次数:
205
0x00 RTF格式 RTF是Rich TextFormat的缩写,意即富文本格式。 ...(详细分析再议) 0x01 漏洞分析 1.利用Metasploit生成可触发漏洞的Poc样本 获取样本后,我们利用windbg进行分析。 ...
分类:
其他好文 时间:
2017-10-05 20:24:53
阅读次数:
178
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读 ...
GDB调试命令大全 gdb --pid 1235 gdb core.1234 where (bt) //where the segmentation fault occurred f 1 //切换栈帧 info locals //打印内存 WinDBG调试技巧 .ecxr command displ ...
分类:
其他好文 时间:
2017-09-30 19:59:54
阅读次数:
164
IsDebuggerPresent() 该函数读取当前进程的PEB里BeingDebugged的值用于判断自己是否处于调试状态 windows2000上是这样定义这个函数的 在x86下用windbg查看PEB结构 可知在PEB(进程环境块)偏移0x002处获得BeingDebugged PEB(进程 ...
分类:
其他好文 时间:
2017-09-29 01:49:28
阅读次数:
302
1. 首先设置符号表路径 在系统环境变量添加一个 _NT_SYMBOL_PATH 值为srv*d:\symbols*http://msdl.microsoft.com/download/symbols 这样IDA, windbg, vs 都会自动到该目录加载符号表. 对于这个路径d:\symbols ...
分类:
数据库 时间:
2017-09-22 22:41:08
阅读次数:
443
= kd> ln 8046e100 (8046e100) nt!KeServiceDescriptorTableShadow | (8046e140) nt!MmSectionExtendResourceExact matches: nt!KeServiceDescriptorTableShadow ...
分类:
数据库 时间:
2017-09-12 12:18:02
阅读次数:
325
在学习0day时,发现ida的知识没有跟上,所以此处进行相关IDA的基础学习。 X86汇编语法: AT&T:%前缀,&文字常量前缀 Intel语法:源操作数位于右边,目的操作数位于左边。使用Interl语法。 反汇编: 线性扫描反汇编:GUN,WinDbg,OBJdump 递归下降: 最典型 IDA ...
分类:
其他好文 时间:
2017-08-21 20:36:17
阅读次数:
253
