文章/答案/技术大牛

发布

对64位和32位windbg扩展使用相同的名称

是指在使用微软的调试工具windbg时，无论是在64位还是32位操作系统上，使用相同的扩展名称来加载和调试扩展。

Windbg是一款强大的调试工具，用于分析和调试Windows操作系统和应用程序。它支持在64位和32位操作系统上运行，并提供了许多扩展来增强其功能。

扩展是一种增加windbg功能的插件，可以提供额外的命令、脚本和功能。通常，扩展需要根据操作系统的位数进行编译，以便在相应的操作系统上正确加载和使用。

然而，有些扩展可以在64位和32位操作系统上使用相同的名称。这意味着无论是在64位还是32位操作系统上，都可以使用相同的扩展名称来加载和调试扩展。这样做的好处是简化了调试过程，无需针对不同的操作系统编译和管理不同的扩展。

对于这种情况，我们可以使用以下步骤来加载和使用扩展：

下载适用于64位和32位操作系统的扩展文件，确保文件具有相同的名称。
打开windbg工具，并通过"File"菜单中的"Open Crash Dump"选项或者通过命令行参数指定要调试的程序或崩溃转储文件。
在windbg的命令行中，使用".load"命令加载扩展。例如，使用命令".load myextension"加载名为"myextension"的扩展。
扩展加载成功后，可以使用扩展提供的命令和功能来分析和调试程序。

需要注意的是，尽管扩展可以在64位和32位操作系统上使用相同的名称，但在加载和使用扩展时仍需要考虑操作系统的位数。某些扩展可能在64位和32位操作系统上具有不同的行为或功能。

腾讯云提供了一系列与云计算相关的产品和服务，包括云服务器、云数据库、云存储等。您可以访问腾讯云官方网站（https://cloud.tencent.com/）了解更多详情和产品介绍。

相关·内容

IDA 6.1调试驱动

图6 现在就可以对驱动进行设置断点和调试了，效果如图7所示：图7 在调试之前为了使程序的断点能够中断需要修正Process options选项中的部分参数，如图8所示。...如果调试没有源码的驱动用IDA应该会更直观一些吧，如果有源码的话还是使用Windbg更好一些。...注意：需要注意的是前提已经配置好了Windbg的远程调试，否则使用IDA是无法连接虚拟机进行调试的，设置方法可以参考下面的连接： Windows 7：http://www.h4ck.org.cn/2010...请遵从《署名-非商业性使用-相同方式共享 2.5 中国大陆 (CC BY-NC-SA 2.5 CN) 》许可协议。...】 IDA 6.0设置WinDbg调试器路径 Immunity Debugger 1.80 IDA调试Windows 内核使用VMWare GDB和IDA调试Windows内核 Syser

1.3K2 0

IDA调试Windows 内核

，如下图所示：如果使用设置Windbg调试器的方法来设置pipe在使用IDA调试的时候是无法正常连接调试器的（话说这个东西我测试了好久，囧）。...另外如果不使用上面的工具进行安装设置启动项的话可以手工设置，不过过程比较繁琐： 1）拷贝kdvm.dll到你的客户机系统的system32目录下，在这个目录下应该可以找到KDCOM.DLL 和KD1394...string中输入管道的名称com:port=\\....请遵从《署名-非商业性使用-相同方式共享 2.5 中国大陆 (CC BY-NC-SA 2.5 CN) 》许可协议。...Syser Kernel Debugger v1.99.1900.1185 KeyGen IDA 6.1调试驱动使用VMWare GDB和IDA调试Windows内核 Syser Kernel

1.4K2 0

IDA 6.0设置WinDbg调试器路径

在早期版本的IDA中可以直接通过进程选项来设置Windbg的路径，但是在6.0之后这个菜单没了。但是可以直接编辑ida.cfg文件来设置调试器路径，修改如下内容即可。...= "C:\\Program Files\\Debugging Tools for Windows (x86)\\";将这一行注释修改为windbg的路径 DBGTOOLS = "C:\\WinDDK\...immediate operand of "push" to offset // // In sequence // // push seg // push num // ☆文章版权声明☆ * 网站名称.../10/ida-6-0-set-windbg-path/ * 转载文章请标明文章来源，原文标题以及原文链接。...请遵从《署名-非商业性使用-相同方式共享 2.5 中国大陆 (CC BY-NC-SA 2.5 CN) 》许可协议。

6842 0

浏览器开发系列第五篇：Debugging with WinDBG

使用windbg调试windows下的程序，只要有符号文件，问题定位分分钟的事。下面主要讲一下使用windbg调试chromium。...有些是从官网上对翻过来的，如果大家看不明白，可以直接加我们的公众号：程序员互动联盟（coder_online）来进行互动。...Windbg是一个强大的免费工具，它比起VisualStudio的调试器还要强大，能够看到当前的内存栈等信息，但是也比那个难用（和Linux下的gdb差不多）。...大家可以去微软官网下载最新版本安装，官网有两个版本：32位和64位。我们使用32位来调试chromium。...也可以通过attach来调试运行的进程，使用detach来解除调试进程。 #重要说明 (1) windbg命令分为标准命令，元命令和扩展命令。标准命令提供最基本的调试功能，不区分大小写。

1.8K9 0

Windbg调试----Windbg入门

好久没有更新文章了，希望以Windbg系列作为回归。欢迎大家一起讨论和分享。 Windbg简单来说就是一个Windows下对用户态/内核态的程序进行调试，以及对Core Dump文件的分析。...相关资料本人也是在维护和开发产品的过程中使用过Windbg，但并未对Windbg进行过系统和深入的学习，也通过这一系列的博客来完善自己对Windbg以及周边知识的理解与使用。...Windbg同时也分32位和64位版本，有网友建议是使用32位Windbg调试32位程序，64位Windbg调试64位程序。...本人平时使用64位的Windbg，如果需要分析32位的程序/Dump, 使用如下命令进行CPU模式的切换： .load wow64exts !...,所以也叫作Dot-Command；扩展命令 (Extension Command)：标准命令和元命令都是Windbg内建的命令，而扩展命令是实现在动态加载的DLL中。这类命令前面都有一个!

2.6K3 2

编写通用 Hello World 驱动程序 (KMDF)

对于名称，输入“Driver.c”。备注文件扩展名为 .c，不是 .cpp。单击添加。 Driver.c 文件添加在源文件下，如下所示。 ?...提示对于设备添加回调，请注意以驱动程序名称为前缀对回调命名的方式 (KmdfHelloWorldEvtDeviceAdd)。...选中部署前删除以前的驱动程序版本。对于目标设备名称，请选择配置用于测试和调试的计算机名。在本练习中，我们使用名为 MyTestComputer 的计算机。...端口和密钥的值应该与你预配目标计算机所使用的值相同。我们将使用 50000 作为端口，使用 1.2.3.4 作为密钥，我们在部署步骤期间使用过这些值。 K 标志指示这是内核调试会话。...重要请确保在退出调试器之前使用“执行”命令让目标计算机再次运行，否则目标计算机将仍然对你的鼠标和键盘输入无响应，因为它仍在与调试器通话。

4.2K2 0

使用Windbg调试内核

Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。.../download/symbols 按照这样设置，WinDbg将先从本地文件夹D:\Program Files\Symbols中查找Symbol，如果找不到，则自动从MS的Symbol Server上下载所需要的...5.内核调试 FileàOpenExecutableà可以选择一个可执行文件进行调试； FileàAttache to a Processà可以选择一个运行中的进程，并对其进行调试； FileàKernel...一旦连接到了内核调试模式中，你可以使用众多的内核扩展命令（以“！”开头）来显示内核数据结构的内容。 6.用内核扩展命令查看常见内核对象数据结构(每条命令以分号隔开) （1）进程：lkd> !...vm）的命令等。显示内核符号中所包含的类型信息的内核结构列表àlkd> dt nt!_*，若需递归显示子结构请使用“-r”开关。

1.6K4 0

win10 uwp 使用 WinDbg 调试

本文告诉大家如何用 WinDbg 调试 UWP 应用，使用 WinDbg 调试是在没有其他手段的时候才进行的调试，因为调试难度特别大。...我最近因为发现有 Edge 和其他 UWP 程序打不开的问题，然而我没有 Edge 和其他 UWP 的源代码，于是我只能通过 WinDbg 去调试 UWP 程序找到工具请不要在网上去下载 WinDbg...x86 和 x64 等版本的工具，打开之后可以从标题栏看到版本号，要求的版本号是 10.0 以上附加进程调试附加到 UWP 程序的方法和附加到普通的程序的方法相同，但是附加到 UWP 程序调试的难度会比较大...，这样的附加效率比较快附加调试完成之后做什么就看你技术了下面图片是我附加调试到照片程序启动 UWP 程序通过启动的时候进行调试比较好的方法，需要使用命令行方式启动 windbg 程序，使用下面命令...> 和上面相同，用被挂起的图床作为例子，先点击 break 进入断点，然后在命令行输入代码，请看下图输入代码之后按下回车，将会有以下提示 The "resumePackage" action will

8941 0

用Windbg来分析.Net程序的dump

什么是Windbg WinDbg是微软发布的一款相当优秀的源码级(source-level)调试工具，可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。...Windbg可以解决以下问题 ◆ 内存高 ◆ CPU高 ◆ 程序异常 ◆ 程序Hang死 3. 使用windbg进行调试分析的两种方式使用windbg调试器attach到需要调试的进程。...(会暂停进程的运行) 抓取进程的dump文件，使用windbg分析dump 一.准备 1.下载官网地址： https://developer.microsoft.com/zh-cn/windows/hardware...下面为命令介绍 -ma 生成full dump, 即包括进程的所有内存. 默认的dump格式包括线程和句柄信息. -c 在CPU使用率到达这个阀值的时候, 生成dump文件....在已经加载的动态链接库中。 .load/.unload 加载/卸载命令模块 **!模块名.help **查看某个扩展库中包含的扩展命令 4..Net程序相关命令基本 !peb或!

2.7K6 0

.NET 高级调试：认识调试工具

测试代码我们想要演示 Windbg 的使用过程，使用方法，调试程序的各种问题，必须有程序作为载体，由于这是【Net 高级调试】的第一节课，所以只是简单的演示一下，例子代码没有实际的作用，作为演示还是够了的...例如，可以使用【SOS 调试扩展】显示有关【托管堆】的信息、查找堆损坏情况、显示【运行时】所使用的内部数据类型以及查看有关在【运行时】内运行的所有托管代码的信息。...SOS 调试扩展是有2个版本的，分别是32位和64位，安装的位置如下 32位安装位置：C:\Windows\Microsoft.NET\Framework\v4.0.30319\SOS.dll 64位安装位置...一般情况，使用windbg自带的命令【.load sos】即可自动加载，使用【.chain】查看加载是否成功。..._1.2306.14001.0_x64__8wekyb3d8bbwe\x86\WINXP\ntsdexts.dll] 2.1.3、如何使用说到是第一节讲 Windbg 使用的文章，所以具体的使用步骤还是要说明的详细一点

3462 0

win10 uwp 收集 DUMP 文件创建一个运行直接退出的程序调试 DUMP 文件

右击新建一个可扩展字符串，写入 DumpFolder 然后双击输入 DUMP 文件可以存放的文件夹，注意这个文件夹需要有权限 ?...调试 DUMP 文件推荐使用 WinDbg Preview 进行调试打开应用商店，搜 WinDbg Preview 就可以安装 ?...直接双击 DUMP 文件使用 WinDbg Preview 打开 ? 打开之后就可以去玩一会回来，加载符号需要很长的时间这个软件的每个界面功能请看下面 ?...本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。...欢迎转载、使用、重新发布，但务必保留文章署名林德熙（包含链接： https://lindexi.gitee.io ），不得用于商业目的，基于本文修改后的作品务必以相同的许可发布。

1.3K3 0

利用特殊协议加载本地文件，绕过 HTML5 沙箱，打开弹窗诸事

如果你不熟悉它，它只是一种使用 iframe 沙箱属性或者 http header 的沙箱属性对网页施加限制的方法。...有一个快速的脏方法，我使用它来简单地杀死 Edge 进程和子进程，重新打开它并附加到使用 EdgeHtml.dll 的最新进程。当然还有更简单的方法，但是...yeah，我就是这么做的。...现在加载 WinDbg ，并将其附加到使用 EdgeHtml 的最新列出的 Edge 进程。记住在 WinDbg 中使用的符合。 ?...为此我们使用 “d” 命令（显示内存）@ 和寄存器名称，如下所示： 0:030> d @rcx 02fac908 71 00 77 00 69 00 65 00-69 00 77 00 71 00...B) 使用 microsoft-edge: 绕过 HTML5 沙盒，弹出窗口拦截器和不知谁知道的东西。

2.5K8 0

SOS 安装程序 (dotnet-sos)

借助此扩展，你可以从本机调试器（如 lldb 和 windbg）检查托管 .NET Core 状态。备注只有 Linux 或 macOS 需要通过 dotnet-sos 工具安装 SOS。...Windows 调试程序的最新版本（WinDbg 或 cdb 的版本 10.0.18317.1001 及更高版本）会从 Microsoft 扩展程序库自动加载 SOS。...在 macOS 和 Linux 上，将更新 .lldbinit 文件，以便扩展在 lldb 启动时自动加载。...以在 WinDbg 或 cdb 中手动加载扩展。...可以使用以下体系结构： Arm Arm64 X86 X64 卸载 dotnet-sos 卸载 SOS 扩展名，并在 Linux 和 macOS 上将其从 lldb 配置中删除。

1K0 0

windbg使用

windbg支持.net调试调试和c++一样 F1命令调出帮助文档 windbg chm帮助文档 symbols配置配置环境变量 _NT_SYMBOL_PATH,(;)路径分割符 ....加载exe后运行，使用lm命令查看符号文件加载情况命令行 .元命令 .reload、.remote、.restart !扩展命令 ?...查询命令，获取命令提示基本命令 ~(查看线程)、|（查看进程） lm查看加载的模块，ld *强制加载所有模块启动exe提示Access violation Ctrl+o打开一个源码文件（手动打开源码文件...），打开堆栈窗口，查看原因加载配置文件 windbg和vs一样，有项目的默认位置，加载相对路径的文件，可以把文件放到windbg.exe的目录下或者配置项目路径 ?...heap命令提示找不到入口，使用.symfix修复符号（自动加载windows符号网址）路径即可 Type referenced: ntdll!_HEAP_ENTRY

9191 0

反汇编算法介绍和应用——线性扫描算法分析

做过逆向的朋友应该会很熟悉IDA和Windbg这类的软件。IDA的强项在于静态反汇编，Windbg的强项在于动态调试。往往将这两款软件结合使用会达到事半功倍的效果。...可能经常玩这个的朋友会发现IDA反汇编的代码准确度要高于Windbg，深究其原因，是因为IDA采用的反汇编算法和Windbg是不同的。下面我来说说我所知道的两种反汇编算法。...使用过IDA的朋友会发现，在我们使用IDA打开一个PE文件时，IDA会给我们显示一个UML类型的执行流程图。而Windbg就没有这样的功能。为什么？...既然知道了缺陷，那么在充满极客的安全领域，自然有人会去研究和利用。我们可以利用这个缺陷，让Windbg这类使用线性反汇编算法的工具分析出错误的结果。 ...我们看看Windbg和IDA的反汇编结果 ? Windbg ?

1.4K5 0

Voltron：一款功能强大的可扩展调试器UI工具包

关于Voltron Voltron是一款功能强大的可扩展调试器UI工具包，该工具基于Python开发，旨在通过引入程序视图来提升和改善各种调试器（LLDB、GDB、VDB和WinDbg）的用户体验。...Voltron可以通过调试器来获取和显示数据，并通过在其他TTY中运行这些视图来帮助构建一个定制的调试器用户界面，以满足广大安全测试人员的需求。...Voltron并不能作为调试工具的替代品，只是现有工具的一个扩展补充组件。除此之外，Voltron还允许我们自定义扩展CLI调试器。...工具内置视图可用于：注册表反汇编堆栈内存断点回溯工具支持 Voltron支持LLDB、GDB、VDB和WinDbg/CBD，可以在macOS、Linux和Windows平台上运行。...工具安装当前版本的Voltron仅支持在macOS和Debian操作系统汇总使用安装脚本进行安装，我们需要使用下列命令将该项目源码克隆至本地，并完成工具的安装： $ git clone https

1.2K1 0

WinDBG实战教学（1）

实验工具： 1、WinDBG 2、IDA 3、Dependency Walker 一、初始任务我们将下载好的文件放到指定位置 C:\Windows\System32 使用WinGDB 连接至虚拟机...（CSDN中有很多关于WinDBG的初始教学，大家可以先看看）出现下面的界面表示连接成功：二、开始分析第一步，我们使用Dependency Walker 做静态分析然后我们可以发现第一个...是所有驱动都会包含的一个函数，这个可以忽略然后第二个RtlCreateRegistryKey和第三个RtlWriteRegistryValue，看到这个Registry我们就大概知道这个操作是和注册表有关的操作...，也就是E 总结一下这个函数做了什么： RtlWriteRegistryValue例程将调用方提供的数据以指定的值名称写入指定的相对路径。...\Machine\SOFTWARE\Policies\Microsoft，然后后面就是全0的截断符了然后下面又是一个相同的调用nt!

5841 0

Win10下VS2015（WDK10）驱动开发环境配置

，提供了比WDM更高层次抽象的高度灵活、可扩展、可诊断的驱动程序框架。...这不仅避免了顾此失彼两面不周的弊端，也由于双方的分离，对操作系统内的某些改动，硬件制造商配套驱动程序的开发都有莫大的好处。...使用主机上的 Vsual Studio 开发和构建驱动程序。...调试程序在主计算机上运行（可以使用 Visual Studio 用户界面或WinDbg调试工具），当测试和调试驱动程序时，驱动程序在目标计算机上运行。...Visual Studio 2015作为调试、部署界面和使用WinDbg作为调试界面在配置上有一些不同。 5.2.3.1 设置测试目标计算机为串口调试方式 A.

4.5K6 2

.NET应用程序调试—原理、工具、方法

需要具备对运行时的错误进行定位且快速的解决它的能力。本篇文章我将分享一下我对.NET应用程序调试方面的学习和使用总结。...所有对.NET程序发起的调试会话都要经过.NET调试扩展组件进行翻译才行，也就是要使用.NET调试扩展的调试命令来调试.NET程序。...在这两个地址下面都可以找到SOS.dll文件，不同的目录下对应于调试不同机器类型的.NET程序。有了这两个扩展包之后就可以在WinDbg中对.NET程序进行分析了，具体使用我们后面会介绍。...第二个是.loadby sos modulename，.loadby 命令是可以根据已经加载的模块名称来加载SOS.dll扩展。...这个问题出现有好几种可能性，对常见的问题就是未能使用正确的方法或者工具获取dump文件，导致dum文件获取的机器和本地调试的机器整个环境不一致。

8250 0

再谈程序自动退出定位技巧

操作系统有一个特性叫Silent Process Exit，就可以监控程序自动退出，但是需要使用Windbg安装目录下的gflags.exe程序开启。...打开gflags.exe，切到Silent Process Exit页面，输入监控的进程名称（包含扩展名），以记事本为例notepad.exe，按TAB键，勾选EnableSilent Process...Exit Monitoring，勾选Enable dump collection，勾选Enable notification，点击Apply按钮，配置如下图所示，本文的截图都是在Win7平台下截取。...打开记事本，使用任务管理器结束notepad.exe，在C:\dump目录下就会生成notepad.exe和taskmgr.exe两个dump文件。 ?...打开系统事件查看器，查看Windows日志下应用程序的事件，会有一个3001事件，也提示被任务管理器结束。 ?

1.5K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云