永久免费精品影视网站,久久一区二区视频,亚洲国产成人porn

Only Soft — Wed, 20 Jan 2010 07:10:00 GMT

从FS寄存器获取当前线�E�ID
int GetThreadId()
{
int ithread = 0;
_asm{
    xor esi , esi
    mov eax, fs:[esi+18h]
       mov ecx, [eax+ 20h]
       mov eax, [eax+ 24h]
    mov dword ptr[ithread], eax
}
return ithread;
}
从FS寄存器获取当前进�E�ID
int GetProcessId()
{
int iProcess = 0;
_asm{
    xor esi , esi
    mov eax, fs:[esi+18h]
       mov ecx, [eax+ 20h]
       mov eax, [eax+ 24h]
    mov dword ptr[iProcess ], ecx
}
return iProcess ;
}

原理�Q?br>1.fs:18h 地址指向�U�程环境块_TEB
打开windbg可以证明�Q?br>0:028> dd fs:18h L1
0053:00000018 7eeb8000
0:028> !teb
TEB at 7eeb8000
    ExceptionList:        1f8ff15c
    StackBase:            1f900000
    StackLimit:           1f8fc000
    SubSystemTib:         00000000
    FiberData:            00001e00
    ArbitraryUserPointer: 00000000
    Self:                 7eeb8000
    EnvironmentPointer:   00000000
    ClientId:             00001a30 . 00001408
    RpcHandle:            00000000
    Tls Storage:          133d2718
    PEB Address:          7efde000
    LastErrorValue:       0
    LastStatusValue:      c0000302
    Count Owned Locks:    0
    HardErrorMode:        0

2. 在_TEB中找到线�E�ID和进�E�ID
0:028> dt ntdll!_TEB
   +0x000 NtTib            : _NT_TIB
   +0x01c EnvironmentPointer : Ptr32 Void
   +0x020 ClientId         : _CLIENT_ID

0:028> dt ntdll!_CLIENT_ID
   +0x000 UniqueProcess    : Ptr32 Void  >�q�程ID
   +0x004 UniqueThread     : Ptr32 Void >�U�程ID

当然从TEB又可以找到_PEB的地址�Q�从_PEB里面可以获取到更多的信息。暂且搁�W�~~

Only Soft 2010-01-20 15:10 发表评论

Only Soft — Sun, 15 Nov 2009 15:57:00 GMT

      在驱动中分配内存�Q�通常你的驱动会向NT VMM��h��内存�Q�这是你必须军_��你的内存是可分页的或者非可分��늚��?br>      分配原则�Q�尽量��用可分页内存�Q�但是必��L��意高�{��IRQL执行不允许page fault。所以不允许采用可分��内存。可以��用PAGED_CODE();宏来��查�?br>      非分��内存在�pȝ��中是一个有限的资源�Q�取决于操作�pȝ��和物理内存大��? (NT VMM使用一个私有算法来计算非分��大��，�q�个��法使用物理内存��L��作�ؓ计算因子来计��?
     NT提供如下例程来分配内存：
       ExAllocatePool();
       ExAllocatePoolWithQuota();
       ExAllocatePoolWithTag();
        ExAllocatePoolWithQuotaTag
       调用以上例程分配内存是必��d��定内存的�c�d��Q?br>       NonPagedPool
       PagedPool
       NonPagedPoolMustSuccessed.
       ......................

    关于非分��内存碎片问题：
     本来初始化的时候地址都是盔R��的非分页池会变成��片。而且VMM在托大的时候也不保证地址盔R��?br>    如果��h��的分配或者释攑ְ�块内存（��于一个PAGE_SIZE�Q?可能��D��物理内存��片化。这回给�pȝ��带来各种各样的问题，包括降低�pȝ��性能和分配内存失败的情况�?br>    解决办法使用旁视列表�Q�旁视列表是一个NT4.0开始提供的一个内存分配方式；具体请参考WDK docment.
     ��Z��提一下内核栈�Q?br>     每个在NT�q�_��的线�E�有一个用��h��在用��h��式执行的时候��用，一个内核栈在内核模式执行的时候��用。当�U�程��h��pȝ��服务而切换到内核模式的时候，陷阱机制会切换栈。用分配和线�E�的内核�I�间栈来覆盖用户�I�间栈�?br>在NT3.51之前�Q�内核栈限制在两��늚�内存中。NT4.0开始增加到12KB.必须要�}慎的在栈上��用变量以节省占空��_��防止��过限制而是�pȝ��停止�?br>

Only Soft 2009-11-15 23:57 发表评论

windbg基础��?-window API

Only Soft — Mon, 24 Aug 2009 03:20:00 GMT

User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll,advapi32.dll,version.dll�{�dll代表了Win32 API的基本提供者；
Win32 API中的所有调用最�l�都转向了ntdll.dll�Q�再由它转发至ntoskrnl.exe。ntdll.dll是本�?API用户模式的终端。真正的接口在ntoskrnl.exe里完成。事实上�Q�内核模式的驱动大部分时间调用这个模块，如果它们��h��pȝ��服务。Ntdll.dll的主要作用就是让内核函数的特定子集可以被用户模式下运行的�E�序调用。Ntdll.dll通过软�g中断int 2Eh�q�入ntoskrnl.exe�Q�就是通过中断门切换CPU�Ҏ��U��?br>Ntdll.dll 上面的相关API函数原型和参数都没有文档�?Undocumented ): http://undocumented.ntinternals.net/ �q�里提供了Ntdll.dll部分未公开函数的原�?

理解window API及函数原型对我们的调试将是非帔R��要的: 因�ؓ你时帔R��要去察看一些函数的参数,或者根据参数找到某些输入指�?

例如:
17 Id: a84.cc4 Suspend: 1 Teb: 7ff3a000 Unfrozen
ChildEBP RetAddr Args to Child
187ffdb8 77845e6c 7782fc72 00001938 00000000 ntdll!KiFastSystemCallRet
187ffdbc 7782fc72 00001938 00000000 00000000 ntdll!NtWaitForSingleObject+0xc
187ffe20 7782fb56 00000000 00000000 00000000 ntdll!RtlpWaitOnCriticalSection+0x13e
187ffe48 01b05d13 0x77c8ba60 81fa55ed 028766c8 ntdll!RtlEnterCriticalSection+0x150

从堆栈可以看出线�E?7 正在�q�入某一个��界区. 0x77c8ba60 ��是传入的��界�?参数.

17> !cs 0x77c8ba60             --> !cs 是用来查看��界区信息的命�?br>DebugInfo          = 0x77fbde20
Critical section   = 0x77c8ba60 (GDI32!semColorSpaceCache+0x0)
LOCKED
LockCount          = 0x0
OwningThread       = 0x00000dd8
RecursionCount     = 0x1
LockSemaphore      = 0x0
SpinCount          = 0x00000000

可以看到 LOCKED 代表临界区是锁定状�? 卌��占用.
OwningThread   ��x��占用�U�程.

临界��Z��息结构定义在ntdll, 可以使用如下指��o�q�行察看.
> dt ntdll!_RTL_CRITICAL_SECTION
   +0x000 DebugInfo        : Ptr32 _RTL_CRITICAL_SECTION_DEBUG
   +0x004 LockCount        : Int4B
   +0x008 RecursionCount   : Int4B
   +0x00c OwningThread     : Ptr32 Void
   +0x010 LockSemaphore    : Ptr32 Void
   +0x014 SpinCount        : Uint4B

察看某个动态库函数表的指��o:
x ntdll!*
x kernal!*

察看�l�构体定�?
dt ntdll!*

��M��动态库包括window 32的用��h��dll 和用戯��定义动态库都是生长在进�E�内存空间上�?
DLL 没有自己�?�U�有"地址�I�间. 它们��L��被媄��到应用�E�序的虚拟地址�I�间,在需要时才会被读取到物理内存�?
在本�p�d��的其它章节我会谈到虚拟地址�I�间的内�?

通过指��o可以看到ntdll 被映��到77800000 ~ 7793c000的内存空间中.
> x *!
77800000 7793c000   ntdll      (pdb symbols)          c:\mylocalsymbols\ntdll.pdb\F0164DA71FAF4765B8F3DB4F2D7650EA2\ntdll.pdb

当你的代�?�U�程)栈中出现地址范围�?77800000 ~7793c000 之间的函数调用都表示在call NTDLL.dll
比如:
   7 Id: a84.c34 Suspend: 1 Teb: 7ff3f000 Unfrozen
ChildEBP RetAddr Args to Child
089bfe8c 77845e6c 75a0179c 00000d98 00000000 ntdll!KiFastSystemCallRet
089bfe90 75a0179c 00000d98 00000000 00000000 ntdll!NtWaitForSingleObject+0xc
089bfefc 75c9f003 00000d98 ffffffff 00000000 KERNELBASE!WaitForSingleObjectEx+0x98
089bff14 75c9efb2 00000d98 ffffffff 00000000 kernel32!WaitForSingleObjectExImplementation+0x75
089bff28 69434fea 00000d98 ffffffff 0780c178 kernel32!WaitForSingleObject+0x12
WARNING: Stack unwind information not available. Following frames may be wrong.
此线�E�中WARNING: Stack unwind information not available. Following frames may be wrong.表示windbg无法��译或者找到对应symbols来显�C�code stack. �q�种错误往往是保存dump file时出现的某种异常信息.window也没有给出合理的解释.
以下是MSDN的原�?
In some cases, the stack trace function will fail in the debugger. This can be caused by a call to an invalid address that caused the debugger to lose the location of the return address; or you may have come across a stack pointer for which you cannot directly get a stack trace; or there could be some other debugger problem. In any case, being able to manually walk a stack is often valuable.

�q�时候你需要手动的�q�行恢复栈调�? 如果你了解每个动态库的映��地址你就很容易进行分析了.

察看动态库中每个函数映��的地址可以采用如下指��o :
x ntdll!

手动恢复栈的大致原理如下:
1. 列出�U�程环境信息
0:000> !teb

TEB at 7fffe000

ExceptionList: 0012ff88

StackBase: 00130000

StackLimit: 00126000

……….

2. 打开整个�U�程�?
0:000> dds 00126000 00130000

3. 察看内存中所有可能是函数�q�回�?/span>.
>ln address

Only Soft 2009-08-24 11:20 发表评论

Only Soft — Sat, 22 Aug 2009 05:47:00 GMT

摘要: 本�h�q?�q�来主要在做windbg调试相关的工�? 有一些心得和体会. 我会逐片写在我blog�?希望对大家有�? windbg调试最重要的是要对�pȝ��的方斚w��面有比较深入的了�? 只有了解了系�l�工作原理才能够��摸瓜. 一步步展开�U�烦. windbg基础��?.. 阅读全文

Only Soft 2009-08-22 13:47 发表评论