windbg学习记录

简介:

我开始熟练使用windbg是从帮助手册开始的,也就是.hh命令。

就像学习windows开发从msdn开始一样,微软的产品虽然不开源,但是文档做的是相当的好。然而那些开源的东西呢?开源的竞争力其实就在于文档不开源,哈哈。你只要不开源文档,那些用你代码的人,很多还是会成为你的客户,而且既然你开源,有了安全问题也不会找你麻烦,你甚至知道后门而不用修补,然而开源是趋势,windows也在朝这一步迈进,这时才是安全人员大行其道的时候。

另外还要说一些IDA,今天我反编译了windows内核ntoskrnl.exe,其实现可谓相当丰富,接口从api到posix都有,而且还可以直接f5查看c代码,要说windows操作系统,开不开源其实无所谓,只要没有加壳加密,几乎已经是开源了。我从未如此近距离接触windows的内核,欣喜若狂。

关于patch guard以及huper guard,其实你可以不去动内核,只要你自己实现一份内核的部分功能,一样可以在ring3迂回的hook到ring0,因为你可以改变ring3代码,让它不再走操作系统的ring0而走你的ring0。

接下来我要实现的加载ring3的代码到ring0执行,听起来有点像ring0的漏洞,这样有利于开发和调试ring0代码,就像脚本和宿主的感觉一样。

目录
相关文章
本地内核调试神器 —— livekd 使用总结
本地内核调试神器 —— livekd 使用总结
|
安全 Android开发
[笔记]安卓逆向之动态调试
[笔记]安卓逆向之动态调试
107 0
|
Linux 程序员 开发工具
Linux环境搭建 | 代码阅读神器——Sourceinsight
Linux环境搭建 | 代码阅读神器——Sourceinsight
1063 0
Linux环境搭建 | 代码阅读神器——Sourceinsight
MineCraft - 杂项整理
前言 本文将搜集在MC的游戏过程中有可能使用到的一些资料,包括但不限于:服务端各种插件权限列表、方块代号、附魔以及药水效果等。 本文内容均为链接,若发现有链接失效请及时提醒我进行更换 正文 我的世界中文WiKi MC方块ID MC颜色代码 药水效果:/effect 命令用法 效果ID wiki 效果 - 1.
1351 0
|
存储 数据建模 Go
Windbg内核调试之二: 常用命令
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解.
1258 0
|
Windows
Windbg内核调试之三: 调试驱动
这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).
1286 0