问题:the system cannot find file **.exe. 解决方法:开始-运行-输入regedit打开注册表编辑器,找到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/**.exe,删除该exe即可.

1.简单配置在windbg程序目录下有个gflags.exe,运行后设置: 运行CMD.EXE,输入"D:\Debugging Tools for Windows (x86)\gflags.exe" /i test.exe +ust,如果设置成功则显示: 如果设置失败,说明注册表被禁用了,可以尝试解除所有对注册表的禁用.这个注册表位置为:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File

感谢博主 http://book.51cto.com/art/200711/59874.htm 2.2  读懂机器的语言:汇编,CPU执行指令的最小单元2.2.1  需要用汇编来排错的常见情况 汇编是CPU执行指令的最小单元.下面一些情况下,汇编级别的分析通常是必要的:1. 阅读代码看不出问题,但是跑出来的结果就是不对,怀疑编译器甚至CPU有毛病.2. 没有源代码可以阅读.比如,调用某一个API的时候出问题,没有Windows的源代码,那就看汇编.3. 当程序崩溃,访问违例的时候,调试器里看到的

Windbg工作空间 WinDbg使用工作空间来描述和存储调试项目的属性.参数及调试器设置等信息.工作空间与vc中的项目文件很相似.WinDbg定义了两种工作空间,一种为默认工作空间,另一种为命名的工作空间.当没有明确使用某个命名空间时,WinDbg总是使用默认工作空间. WinDbg在安装后就有预先创建了一些列默认空间.分别为基础工作空间.默认内核工作空间.默认远程调试工作空间.特定处理器工作空间.默认用户态工作空间.它们分别定义了在WinDbg在各种条件下的一些配置.参数设置等. 基础工作空

使用windbg导出dump文件 .dump /ma D:\testdump.dmp gchandles命令列出句柄,同时列出句柄引用的对象,演示代码如下: using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading; using System.Data; using System.Runtime.InteropServices; publ

感谢博主 http://book.51cto.com/art/200711/59731.htm <Windows用户态程序高效排错>第二章主要介绍用户态调试相关的知识和工具.本文主要讲了排错的工具:调试器Windbg.   第二章 汇编.异常.内存.同步和调试器——重要的知识点和神兵利器 这一部分主要介绍用户态调试相关的知识和工具.包括:汇编.异常(exception).内存布局.堆(heap).栈(stack).CRT(C Runtime).handle/Criticalsection/th

任何好用的工具如果使用不当都会带来不好的后果,gflags也是一样.我遇到过一些gflags的“坑”,还从领导和同事那里获得一些好的想法,整理成7条gflags使用规范.有意识的遵循这些规范,对项目的开发维护和自身的技术成长都将有很大的益处. 规范1:bool类型的gflags默认值设置成false,防止误启用新功能. 新的功能上线一定要经过代码审查.测试和验证流程,默认为true的gflags风险太大. 规范2:应定时清理旧的gflags. 随着时间的流逝,代码里的gflags会越来越多,当你

一.什么是工作空间 Windbg把和调试相关的所有配置称为workspace.WinDbg使用工作空间来描述和存储调试项目的属性.参数及调试器设置等信息.工作空间与vc中的项目文件很相似.退出windbg时,它会将会话配置保存在工作区中.工作区使您能够轻松地保留从一个会话到另一个会话的设置.您还可以手动保存或清除工作区,甚至可以使用工作区保存仍在进行中的调试会话. 二.工作空间保存的信息 WinDbg的工作空间中保存了一下信息: 调试会话状态:包括,断点.打开的源文件.用户自定义别名. 调试器设

<Windows用户态程序高效排错>第二章主要介绍用户态调试相关的知识和工具.本文主要讲了PageHeap,调试Heap问题的工具. AD:51CTO学院:IT精品课程在线看! 2.4.2  PageHeap,调试Heap问题的工具 幸运的是,Heap Manager的确提供了主动检查错误的功能.只需要在注册表里面做对应的修改,操作系统就会根据设置来改变Heap Manager的行为.Pageheap是用来配置该注册表的工具.关于heap的详细信息和原理请参考: How to use Page

CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的double free漏洞. 实现对漏洞的有效利用,攻击者利用成功可导致权限提升.afd.sys是内核用来管理socket的模块. 影响的系统包括(32bit & 64 bit):  Windows Server 2003 Windows Vista Windows Server 2008 Windows 7

话说本猫不用windows很多年了呀!不过看到微软最新的Windows10还是手痒了,想安装体验一把.于是第一时间下载,并做成usb引导安装镜像,在08年的老台式机上安装尝鲜鸟.下载ISO和安装方法这个略过了,因为网上一大把教程吖!这里只是就使用的第一感觉和大家分享下. 首先,微软自己说了,Windows10 技术预览版(build 9841)不推荐实际工作使用,一是因为bug较多,二是微软会在后台大量收集用户使用报告,有隐私拒绝强迫症的童鞋可以略过鸟!我在家一般用Mac OS X系统,在单位用

windows下,我们对于.net程序发生Crash,资源泄露,死锁等问题的分析,有神器windbg .net core程序运行在linux上时,该怎么进行对对Core Dump文件进行分析呢?今天介绍一款Linux/mac os下的一款调试利器:lldb. 官网地址 Linux下调试.Net core(1):lldb的安装 dotnet core调试docker下生成的dump文件 Debugging .NET Core on Linux with LLDB .NET Core is desi

在win7 64环境下分析 1.malloc代码 int main(){ void *p = malloc(0xa8); memset(p, 'a', 0xa8); free(p); return 0;} 2.malloc(windbg分析) 函数调用过程 ntdll!RtlAllocateHeap//后面还有一串调用.过于复杂,不再跟进.rpci!_malloc_base+0x44 [d:\th\minkernel\crts\ucrt\src\appcrt\heap\malloc_base.c

gflags是google开源的一个解析命令行参数的工具. 最简单的demo #include <iostream> #include <gflags/gflags.h> using namespace std; DEFINE_string(confPath, "../conf/setup.ini", "program configure file."); DEFINE_int32(port, , "program listen p

0×00 摘要 混淆是一种能增加二进制分析和逆向工程难度与成本的常用技术.主流的混淆技术都是着眼于使用与目标CPU相同的机器代码,在相同的处理器模式下,隐藏代码并进行控制.本文中引入了一种新的混淆方法,这一方法利用了64Windows系统中的32位/64位交叉模式编码.针对静态和动态分析工具的案例研究证明了这种混淆技术虽然简单,但是十分有效. 0×01 64位Windows中的模式转换 所有的64位Windows操作系统都能向下兼容未修改过的 32位应用,这是通过WoW64(64位Windows

知识这东西有时候很奇怪,每次当你重新审视他的时候可能都会有新的收获.最近为了研究一个内存相关的问题,把windows heap相关的内容又复习了一遍,收获不小,记录一下,希望有朋友使用的时候少走些弯路. 老话说的好,知己知彼方可百战不殆,没准备就去打仗无异于以卵击石,后果可想而知,那分析heap的问题需要什么基础知识呢: 1.       Windows 基础知识,内存模型,什么是堆,堆内存是如何管理的,不了解的,建议学习<windows internals>. 2.       如何调试相关

0x01 前言 CVE-2010-3333 漏洞是一个栈溢出漏洞,该漏洞是由于 Microsoft文档在处理 RTF 数据的对数据解析处理错误,在进行内存操作时没有对操作的数据进行长度限制,导致存在内存漏洞,根据漏洞可以很容易构造出恶意的 RTF 文档,危害较大 环境 windows XP sp3(未启用 ASLR 和 DEP) 漏洞软件 Microsoft Office 2003(提取码:woi9) 分析工具 Windbg(Windbg32,Windbg64) metasploit 构造的样本

0x01 前言 2012 年 10 月 5 日,exploit-db 漏洞公布站点上发布了 QQplayer.exe 3.7.892 m2p quartz.dll Heap Pointer OverWrite PoC,后被人提交至乌云.这个漏洞与 QQplayer.exe 没有任何关系,而是系统的 quartz.dll 在解析 .m2p 文件头时没有限制复制数据的大小,导致复制的数据超出了申请的栈空间 调试所用到的 POC 和 QQplayer.exe 文件:CVE-2013-0077.zip(

0x01 蜘蛛漏洞攻击包 前言:2012 年 2月,地下黑产中流行着一款国产名为蜘蛛漏洞的攻击包 -- "Zhi-Zhu Exploit Pack",该工具包含 5 个漏洞,都是在当时比较流行的漏洞,涵盖了 Flash.IE 等产品,其中就包含 CVE-2012-0003,此国产漏洞利用包与国外有一定的差别:国外通常用于构建僵尸网络或者窃取重要的情报,而 "蜘蛛" 这款漏洞攻击包主要用于盗取游戏账号,比如 "龙之谷",这似乎也比较复合国情 微软发

CVE-2013-1347 漏洞是典型的 IE 浏览器 UAF 漏洞,所以其利用方法和一般的 IE 浏览器漏洞的利用方法非常相似,所以流程大体上可以分为这些步骤:(1) 对象被释放 (2) 精确覆盖被释放对象的内存空间,更改 EIP 寄存器从而控制程序的流程 (3) 触发漏洞实现重引用 以下就是利用此漏洞的样本 <!doctype html> <HTML XMLNS:t ="urn:schemas-microsoft-com:time"> <head>

运行起来会提示windbg is running. BUSY 这个是正常运行的状态,只有发生异常,或者被指定断点,才会中断.