注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

三个windbg脚本,用于内核调试  

2013-02-20 16:13:52|  分类: 调试记录 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

做一些windbg脚本,方便测试内核漏洞,编辑这些文件改控制码,便于中断!

第一个

* dev.x

bp kernel32!DeviceIoControl "j (poi(@esp+8)==390008) 'u poi(@esp) l1;dd /c1 @esp+4 l8';'gc'"


用记事本测试输出如下

77da9559 5f              pop     edi
0007caa4  000007ac
0007caa8  00390008
0007caac  77e16318
0007cab0  00000100
0007cab4  0007cb34
0007cab8  00000100
0007cabc  0007cb2c
0007cac0  00000000

这个输出的头六个是感兴趣的数据!

第二个

* ntdlldev.x

bp ntdll!NtDeviceIoControlFile "j (poi(@esp+18)==390008) 'u poi(@esp) l1;dd /c1 @esp+4 la';'gc'"

记事本测试输出如下

kernel32!DeviceIoControl+0x4c
7c801675 3d03010000      cmp

0007ca44  000007ac
0007ca48  00000000
0007ca4c  00000000
0007ca50  00000000
0007ca54  0007ca78
0007ca58  00390008
0007ca5c  77e16318
0007ca60  00000100
0007ca64  0007cb34
0007ca68  00000100

这个输出的头1个+倒数的5个是感兴趣的数据!

第三个

* ntdev.x

bp nt!NtDeviceIoControlFile "j (poi(@esp+18)==390008) 'u poi(@esp) l1;dd /c1 @esp+4 la';'gc'"

这个要在虚拟机里测一下了,估计输出跟第二个一样!

 

经过测试第二个和第三个参数是一模一样的!ntdll里的只是nt的存根。

三个windbg脚本,用于内核调试 - appall - 且行且记录
 
三个windbg脚本,用于内核调试 - appall - 且行且记录
 

 

  评论这张
 
阅读(382)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017