2005.3.20-IT俱乐部-活动笔记
2005-03-24 13:10
218 查看
由于未拿到讲座的ppt,暂时把我记下来的先整理出来,肯定会有许多遗漏和错误,还望大家指出或补充。
Advanced Debugging
By Raymond Zhang
Debuger 调试者
Debuggee 被调试者
系统内存分配
00000000-7FFFFFFF HAL
7FFFFFFF-
-FFFFFFFF System Cache Page System
函数的地址分布
EBP - Extended Based Point
EBP+8 第一个参数地址
EBP+4 返回值地址
WinDBG调试方式
1. 由Windbg启动一个进程(该方式可以保证调试器是窗口的主进程)
2. 附加到一个Running 的进程
3. 附加到目标计算机
命令分类
1. Regular Command
d+xxx 显示
e+xxx 修改
b+xxx 断点
r+xxx 寄存器
2. Meta Commands
reboot 重启程序
reload 重新加载符号文件
3. Extended Command
process 列出所有进程
通过process命令显示的进程列表中的一些参数说明:
SessionID 所在桌面的ID,在多桌面情况下有效,默认为0
DirBase 内核对象基地址
Image exe文件名
调试演示1:通过GetWindowText()获得Outlook帐号界面中的密码框中的内容
说明:
1. WinXP API规定必须从自己进程发出的消息或命令才会被处理
2. 非攻击性Attach是被Windows系统允许的
00000000 00000000 00000000 00000000
假设以上为事件调用GetWindowText()时,GetWindowText()的函数入口情况,第一个是函数的Handle地址,第二个是buffer的地址,第三个是buffer的长度地址
Software Exceptions 0-255(这里的异常是汇编级异常,与.net中的异常完全不同)
0 Divide by Zero
1 Debug Exception
3 Breakpoint
4 Overflow by NTO
5 Array Bounds Check
6 Invalid opcode (WinNT下,IN / OUT 操作可能引发)
? Page fault (缺页异常)
如:int 3h 产生断点,VC中通过保存特定行的语句,并用int 3h代替来实现断点
在程序Hex中我们经常看到“烫”,其实它是ASCII码DCDC转换而来,DC表示一个int 3h
用户态堆栈 1MB
内核态堆栈 8KB
在VS.net或VC未安装时,异常是由Windows自带的Dr Watson处理,并且弹出提示对话框的
在Dr Watson中可以设置是否允许Debug
在注册表中可以设置使用哪个调试器,在AeDebug中
用户堆栈
_______________-
参数 SP+8
————————
返回值 SP+4
————————
调用堆指针 SP(本行下面一条边,就是SP地址)
————————
本地变量
————————
从上到下,地址从大到小
一些黑客可以利用特定的字符串传入,覆盖本地变量并且造成buffer overflow来向上覆盖返回值,从而获得对程序的控制权。(这时可能返回到不该返回的地方,如黑客指定的控制程序)
BSOD(Blue Screen of Death)
通常是由于发生了驱动程序无法处理的异常,而被os捕获造成的
STOP: 0xC0000005(0x0000000,0x0000000,...)
0xC0000005为异常码,可以在Windbg帮助文件中的Bug Checks中找到对应的异常码和具体说明
括号中的内容是特定异常码所对应的参数,也可以在Windbg的帮助文件中找到。注意,每一个异常码对应特定个数和类型的参数
(以上例子中的0x0C0000005是访问异常)
在WinDbg中用户可以通过!analyze -v命令实现对Dump File的自动分析,它会告诉你是哪个驱动程序引起蓝屏的,通常情况下,这一信息时可靠的。
技巧:大家可以通过关闭 我的电脑->启动与恢复设置->系统失败 自动重新启动选项,实现蓝屏后不马上重新启动,以便于记录下错误信息,方便调试。
推荐的两本参考书:
Debugging Applications By John Robbins
Debugging Principle By Raymond Zhang (not published)
即将开通的IT俱乐部网站:www.chinaitclub.org
************************************Updated ***************************************
祝成科技提供的讲义下载
Advanced Debugging
By Raymond Zhang
Debuger 调试者
Debuggee 被调试者
系统内存分配
00000000-7FFFFFFF HAL
7FFFFFFF-
-FFFFFFFF System Cache Page System
函数的地址分布
EBP - Extended Based Point
EBP+8 第一个参数地址
EBP+4 返回值地址
WinDBG调试方式
1. 由Windbg启动一个进程(该方式可以保证调试器是窗口的主进程)
2. 附加到一个Running 的进程
3. 附加到目标计算机
命令分类
1. Regular Command
d+xxx 显示
e+xxx 修改
b+xxx 断点
r+xxx 寄存器
2. Meta Commands
reboot 重启程序
reload 重新加载符号文件
3. Extended Command
process 列出所有进程
通过process命令显示的进程列表中的一些参数说明:
SessionID 所在桌面的ID,在多桌面情况下有效,默认为0
DirBase 内核对象基地址
Image exe文件名
调试演示1:通过GetWindowText()获得Outlook帐号界面中的密码框中的内容
说明:
1. WinXP API规定必须从自己进程发出的消息或命令才会被处理
2. 非攻击性Attach是被Windows系统允许的
00000000 00000000 00000000 00000000
假设以上为事件调用GetWindowText()时,GetWindowText()的函数入口情况,第一个是函数的Handle地址,第二个是buffer的地址,第三个是buffer的长度地址
Software Exceptions 0-255(这里的异常是汇编级异常,与.net中的异常完全不同)
0 Divide by Zero
1 Debug Exception
3 Breakpoint
4 Overflow by NTO
5 Array Bounds Check
6 Invalid opcode (WinNT下,IN / OUT 操作可能引发)
? Page fault (缺页异常)
如:int 3h 产生断点,VC中通过保存特定行的语句,并用int 3h代替来实现断点
在程序Hex中我们经常看到“烫”,其实它是ASCII码DCDC转换而来,DC表示一个int 3h
用户态堆栈 1MB
内核态堆栈 8KB
在VS.net或VC未安装时,异常是由Windows自带的Dr Watson处理,并且弹出提示对话框的
在Dr Watson中可以设置是否允许Debug
在注册表中可以设置使用哪个调试器,在AeDebug中
用户堆栈
_______________-
参数 SP+8
————————
返回值 SP+4
————————
调用堆指针 SP(本行下面一条边,就是SP地址)
————————
本地变量
————————
从上到下,地址从大到小
一些黑客可以利用特定的字符串传入,覆盖本地变量并且造成buffer overflow来向上覆盖返回值,从而获得对程序的控制权。(这时可能返回到不该返回的地方,如黑客指定的控制程序)
BSOD(Blue Screen of Death)
通常是由于发生了驱动程序无法处理的异常,而被os捕获造成的
STOP: 0xC0000005(0x0000000,0x0000000,...)
0xC0000005为异常码,可以在Windbg帮助文件中的Bug Checks中找到对应的异常码和具体说明
括号中的内容是特定异常码所对应的参数,也可以在Windbg的帮助文件中找到。注意,每一个异常码对应特定个数和类型的参数
(以上例子中的0x0C0000005是访问异常)
在WinDbg中用户可以通过!analyze -v命令实现对Dump File的自动分析,它会告诉你是哪个驱动程序引起蓝屏的,通常情况下,这一信息时可靠的。
技巧:大家可以通过关闭 我的电脑->启动与恢复设置->系统失败 自动重新启动选项,实现蓝屏后不马上重新启动,以便于记录下错误信息,方便调试。
推荐的两本参考书:
Debugging Applications By John Robbins
Debugging Principle By Raymond Zhang (not published)
即将开通的IT俱乐部网站:www.chinaitclub.org
************************************Updated ***************************************
祝成科技提供的讲义下载
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 2005.3.20-IT俱乐部-活动笔记
- 参加2005.3.20-IT俱乐部活动的感想
- 参加2005.3.20-IT俱乐部活动的感想
- [上海线下活动]IT俱乐部新春首期活动: 高级Windows调试
- 中美IT人才俱乐部第一次活动见闻
- 【山东农大】IT俱乐部暨CSDN高校俱乐部2013年社团纳新圆满结束
- 微软(北京).NET俱乐部活动 (2010年6月26日) – Visual Studio 2010 /*LIFE RUNS ON CODE*/
- 第一行代码学习笔记-第二章 探究活动-2.Intent的使用
- 微软(北京).NET俱乐部活动 (2010年6月26日) – Visual Studio 2010 /*LIFE RUNS ON CODE*/
- 【笔记】软件活动中的浪费
- 【讲座笔记】微软人谈IT职业发展
- 2010年5月27日俱乐部下午场活动,“身为技术管理者,您会带新人吗?”主题研讨活动
- AndroidStudyJams的活动笔记(L1-ViewGroup,LinearLayout,RelativeLayout,Margin,Pading)
- 俱乐部2006年的首次活动-ASP.NET Webpart 开发交流会暨2005回顾
- 欢迎参加2010-5-15日的成都.NET俱乐部活动
- [深度学习论文笔记] Convolutional Neuron Networks and its Applications
- android中活动、服务之间传值简单总结笔记
- 算法导论学习笔记(十四):贪心算法(一):活动安排问题
- 深度学习在自然语言处理中的应用: 集智俱乐部活动笔记
- 算法俱乐部前两次活动题目分析by邵明