新建"环境变量 - 系统":_NT_SYMBOL_PATH 值为:SRV*FullDirPath*http://msdl.microsoft.com/download/symbols 比如:SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols 之后,手动创建文件夹FullDirPath:mkdir FullDirPath 在windbg中,加载符号: .reload /f xxx 比如: .reload /f nt .rel…

符号文件是一种辅助数据,它包含了对应用程序代码的一些标注信息,这些信息在调试过程中非常有用.如果没有辅助数据,那么能获得的信息就只有应用程序的二进制文件.二进制文件很难调试,因为无法看到代码中的函数名.数据结构名等.这正是符号文件能显示的.符号文件的扩展名通常是pdb,调试器能够很好地解析这种文件格式. 编译器和链接器在创建二进制镜像文件(诸如exe.dll.sys)时,伴生的后缀名为.dbg..sym或.pdb的包含镜像文件编译.链接过程中生成的符号信息的文件称为符号文件.具体来说,符号信息包…

Symbol Server (Microsoft): srv*c:\mss*http://msdl.microsoft.com/download/symbols Symbol Server (Citrix): srv*c:\css*http://ctxsym.citrix.com/symbols .symfix c:\mss .sympath+ srv*c:\css*http://ctxsym.citrix.com/symbols…

.sympath C:\Users\leoyin\Desktop\last;SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols  …

调试SQLSERVER (二)使用Windbg调试SQLSERVER的环境设置 调试SQLSERVER (一)生成dump文件的方法调试SQLSERVER (三)使用Windbg调试SQLSERVER的一些命令 大家知道在Windows里面,调试可以分为两个领域: 1.内核态调试 2.用户态调试 一般的程序都是运行在用户态,包括SQLSERVER,SQLServer 会依赖于操作系统的Win32/Win64 API去调用I/O或者其他他需要的服务 用户态程序调试和内核态程序调试是不太一样的,即使…

------------VS 2013驱动开发 + Windbg + VM双机调试(亲测+详解)------------- WIN10已上线,随之而来的是VS2015:微软在 "WDK7600" 以后就不再提供独立的内核驱动开发包了,而是必须首先安装微软集成开发环境VS,然后再从微软官网下载集成的WDK驱动程序开发包.或者离线安装的开发包. 地址: https://msdn.microsoft.com/zh-cn/windows/hardware/hh852365.aspx 离线下载地…

在软件编程中,崩溃的场景比较常见的.且说微软技术再牛X,也是会出现崩溃的场景.网上有一段Win98当着比尔盖茨蓝屏的视频非常有意思. (转载请指明出于breaksoftware的csdn博客)         我们身边的很多软件都引入了dump生成和收集机制.但是一般情况下,它们都是生成minidump.因为minidump文件相对来说很小,方面我们收集上来进行分析.但是Minidump保存了很少的信息,在一些场景下,可能不能协助我们准确快速定位问题. 但是,如果我们在测试过程中,发生了必现崩溃…

最近我写个例子程序研究下某个异常情况,故意制造了个崩溃.然后分析dmp文件. 当我执行!address -summary命令想观察下进程当前内存情况时,去报如下错误: 0:000> !address -summary No symbols for ntdll. Cannot continue. 这意思是没有ntdll.dll模块的符号,不可能啊,因为有明显的证据证明该模块符号文件已经加载且匹配,如下: 1.比如我们从线程栈可以佐证 05 00affa24 7799662d 008e7000 80…

一.需要下载的软件 1.visual studio 2010\\xxzx\tools\编程工具\MICROSOFT\VISUAL.STUDIO\VISUAL.STUDIO.201032位cn_visual_studio_2010_ultimate_x86_dvd_53234764位mu_visual_studio_2010_sp1_x86_x64_dvd_651704.iso 2.WinDbg \\xxzx\tools\编程工具\MICROSOFT\WINDBG(我装的是6.12.2.633,3…

目录 CVE-2017-8464(stuxnet 3.0) 分析 0xFF 前言 0x00 分析工具 0x01 漏洞复现 1).生成一个DLL用于测试 2).构造一个恶意的lnk二进制文件 3).RUA! 0x02 POC细节 0x03 分析 1).bp LoadLibraryW 2).Parse 恶意lnk文件的过程 3).关于那个3 4).关于读取指定dll路径的过程 0x04 总结 0x05 参考 CVE-2017-8464(stuxnet 3.0) 分析 0xFF 前言 ​ 以前大一听网…

前端:jQuery笔记 此系列文章乃是学习jQuery的学习笔记. Asp.net MVC Comet推送 摘要: 一.简介 在Asp.net MVC实现的Comet推送的原理很简单. 服务器端:接收到服务器发送的AJAX请求,服务器端并不返回,而是将其Hold住,待到有东西要通知客户端时,才将这个请求返回. 客户端:请求异步Action,当接收到一个返回时,立即又再发送一个. 缺点:会长期占用一个Asp...阅读全文 posted @ 2015-02-10 12:01 逆心 阅读(1072)…

本文简要介绍了Fuzz 工具Peach的使用,并通过文件格式 Fuzz举例阐述了 Peach Pit 文件的编写. 本文转自“绿盟科技博客”:http://blog.nsfocus.net/peach-fuzz/ 1.引言 Fuzz(模糊测试)是一种通过提供非预期的输入并监视异常结果来发现软件安全漏洞的方法.模糊测试在很大程度上是一种强制性的技术,简单并且有效,但测试存在盲目性. 典型地模糊测试过程是通过自动的或半自动的方法,反复驱动目标软件运行并为其提供构造的输入数据,同时监控软件运行的异常结…

一.需要下载的软件 1.visual studio 2010\\xxzx\tools\编程工具\MICROSOFT\VISUAL.STUDIO\VISUAL.STUDIO.201032位cn_visual_studio_2010_ultimate_x86_dvd_53234764位mu_visual_studio_2010_sp1_x86_x64_dvd_651704.iso 2.WinDbg\\xxzx\tools\编程工具\MICROSOFT\WINDBG(我装的是6.12.2.633,32…

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 一.配置Windbg使用双机调试 win10中“windbg+vmware+win7双机调试”设置:https://blog.51cto.com/duallay/1982741 二.设置好Windbg符号表 注意:不同的符号表项之间使用 引号(;) 分割.…

根据系统安装好x64版本,我的系统是win10 x64 ; windbg下载地址 https://developer.microsoft.com/zh-cn/windows/hardware/download-windbg 符号程序包下载地址中文 https://developer.microsoft.com/zh-cn/windows/hardware/download-symbols 符号程序包不是随便下载的,是根据当前的系统版本下载的: 查询你的系统初安装时选择的版本, 打开cmd,都不用…

想对某个函数下断点,但是记不清楚的函数具体的名字,这个时侯可以使用x命令来列举所有的符号. 命令格式为: x [选项] 模块名字!符号匹配表达式 这里的符号匹配表达式类似dos的文件名匹配表达式,可以用*号和?号做通配符.比如我想列出user32.dll里面所有的以GetWindowT开头的符号,使用命令 0:016>  x user32!GetWindowT*75f50f7b USER32!GetWindowTextA (struct HWND__ *, char *, int)75f4adc…

1.下载WinDbg安装包(Debuggers And Tools-x64_en-us v6.12.0002.633 AMD64.msi),双击安装 2.从网站http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx#Download_windows下载相应版本的symbol(此处为Windows_Win7SP1.7601.17514.101119-1850.AMD64FRE.Symbols.msi),安装在了E:\symbol…

(转)WINDBG的符号下载与符号路径问题 安装与配置 windbg 的 symbol (符号) 本篇是新手自己写的一点心得.建议新手看看.同时希望前辈多多指教. 写这篇的动机:在网上找了一上午的 windbg 配置符号教程.楞是没找到详细的,都讲的太模糊而且互相抄袭.不适合新手看.终于靠自己的努力弄懂了一点,呵呵写出来新手们分享. 安装与配置 windbg 的 symbol (符号) 第一步 是从 http://www.microsoft.com/ddk/debugging 下载最新版本的 W…

http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx  windows symbols下载地址 本篇是新手自己写的一点心得.建议新手看看.同时希望前辈多多指教. 写这篇的动机:在网上找了一上午的windbg配置符号教程.楞是没找到详细的,都讲的太 模糊而且互相抄袭.不适合新手看.终于靠自己的努力弄懂了一点,呵呵写出来新手们分 享. 安装与配置windbg的symbol(符号) 第一步 是从 http://www.micros…

How to display the size value 1)一开始不会加载,chksym 了一下就加载了. 2) 新版本已经可以显示size的大小了 3)?? 显示变量的类型 4)x std::vector<int,std::allocator<int>>::size 无任何输出,发现是符号未被加载 5)哈哈,这玩意儿是一个模板,我在windbgTest的symbol中找到了他的定义 6)对于win10,最新版本的windbg,直接点击链接,就可以跳转过来了.…

0x00 前言 在使用windbg调试windows中的程序时会经常碰到一些系统的dll里面的一些函数调用,有些函数是没有具体函数名的,这对于调试非常不利,基于此,微软针对windows也发布了很多系统dll对应的符号表,这些符号表如今基本集成在了微软的符号表服务器中,本文简单讲一下如何在windbg中加载符号表. 0x01 配置符号表 首先给一个最常用的方式,要做的工作基本就是先在本地指定的文件目录搜索对应的符号表,如果找不到就连接远程服务器下载,并保存在本地,方便下次使用,如下 .sympa…

1.安装WinDbgPreview 在Microsoft Store直接搜索windbg就可以下载. 2.配置符号服务器 2.1 符号 符号是方便调试程序的文件,通常是pdb文件.一个模块(可执行程序,动态链接库)对应一个pdb文件.不同的windows版本中的文件不同(比如说kernel32),版本不同pdb符号文件也不同,因此要从微软提供的符号服务器获取本机对应的符号. 但是要在本地建立一个文件夹作为缓存来存放符号文件,以便下次使用时直接从本地获取. 2.2 配置 1.可以在环境变量设置_N…

x (Examine Symbols) x命令在所有与指定模式匹配的上下文中显示符号. x [Options] Module!Symbol x [Options] * 参数: Options特定符号搜索选项.您可以使用以下一个或多个选项:/0 只显示每个符号的地址. /1 只显示每个符号的名称. /2 只显示每个符号 (而非数据类型) 的地址和名称. /D 使用调试器标记语言显示输出. /t 如果数据类型已知, 则显示每个符号的数据类型. /v 显示每个符号的符号类型 (本地.全局.参数.函数或…

ld (Load Symbols) ld命令加载指定模块的符号并更新所有模块信息. ld ModuleName [/f FileName] 参数: ModuleName指定要加载其符号的模块的名称.modulename可以包含各种通配符和说明符. /f FileName更改为匹配项选择的名称.默认情况下,模块名是匹配的,但使用/f时,文件名是匹配的,而不是模块名.文件名可以包含各种通配符和说明符. 调试器的默认行为是使用延迟符号加载(也称为延迟符号加载).这意味着符号在需要之前不会实际加载. 另…

命令dds, dps,  dqs显示给定范围内的内存内容.假定该内存是符号表中的一系列地址.相应的符号也会显示出来. dds [Options] [Range] dqs [Options] [Range] dps [Options] [Range] 参数: Options指定一个或多个显示选项.可以包括以下任何选项,但不能指示多个/p*选项:/c Width 指定要在显示中使用列的数. 如果省略,默认列数取决于显示类型. 由于这些命令显示符号的方式,是通常最好使用默认值为只有一个数据列. /p…

一开始配置完毕后 输入reload  但不识别 输入reload -f 还是不识别 输入reload -f 模块名 继续不识别 !sym noisy 查看 输入reload 发现有了一堆的查找路径 把pdb文件放到查找路径下 reload -f 模块名 !analyze -v 可以定位到代码了 但还是比较模糊的范围…

作者:张佩][原文:http://www.yiiyee.cn/Blog] 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe.ntsd.exe.kd.exe和Windbg.exe.其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共同特点是,都只有控制台界面,以命令行形式工作. Windbg.exe在用户态.内核态下都能够发挥调试功能,尤其重要的是,它不再是命令…

第一章 准备 1.1.    环境配置 _NT_DEBUGGER_EXTENSION_PATH=C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 _NT_SYMBOL_PATH=SRV*c:\Symbols*http://msdl.microsoft.com/download/symbols Path add: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 C:\Program Files\Debugging…

一.WinDbg是什么?它能做什么? WinDbg是在windows平台下,强大的用户态和内核态调试工具.它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏.程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率. 二.WinDbg下载: http://www.windbg.org/ 三.设置符号表: 符号表是WinDbg关键的"数据库",如果没有它,WinDbg基本上就是个废物,无法分析出更多问题原因.所以使用WinD…

前几天有个朋友发个了在windows server 2008跑的IIS 跑的程序w3wp程序dmp,要我帮忙分析为何线程都挂起不运行 经过查阅资料用windbg可以调试可以输出线程的调用堆栈,但是准备调试之前费了不少功夫和时间 主要碰到是SOS.DLL和DMP 文件运行时候的CLR.DLL不匹配问题,那就需要从w3wp运行的机器上拷贝到对应.net版本下面的sos.dll,clr.dll,mscordacwks.dll文件 然后给windbg 加载,主要是通过.load 命令,卸载扩展DLL命令…