windbg-.process切换进程(内核)
2023-09-27 14:26:38 时间
.process
.process
命令指定要用作进程上下文的进程(Set Process Context)
.process显示当前进程的EPROCESS,这里显示当前进程为test.exe
- kd> .process
- Implicit process is now 821f5da0
- kd> ? @$proc
- Evaluate expression: -2111873632 = 821f5da0
- kd> !process 821f5da0 0
- PROCESS 821f5da0 SessionId: 0 Cid: 06e8 Peb: 7ffde000 ParentCid: 0620
- DirBase: 02b40380 ObjectTable: e1112818 HandleCount: 20.
- Image: test.exe
kd> .process Implicit process is now 821f5da0 kd> ? @$proc Evaluate expression: -2111873632 = 821f5da0 kd> !process 821f5da0 0 PROCESS 821f5da0 SessionId: 0 Cid: 06e8 Peb: 7ffde000 ParentCid: 0620 DirBase: 02b40380 ObjectTable: e1112818 HandleCount: 20. Image: test.exe
可以通过/r /p来切换进程上下文,意味着接下的命令都使用新的进程上下文,比如内存,但这没有改变目标系统,只是影响了windbg的输出
- kd> .process /r /p 81e74b58
- Implicit process is now 81e74b58
- .cache forcedecodeuser done
- Loading User Symbols
- PEB is paged out (Peb.Ldr = 7ffdc00c). Type ".hh dbgerr001" for details
- kd> db 1000000
- 01000000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ..............
- 01000010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@.......
- 01000020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
- 01000030 00 00 00 00 00 00 00 00-00 00 00 00 e0 00 00 00 ................
- 01000040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th
- 01000050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno
- 01000060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS
- 01000070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$.......
- kd> .process /r /p 821f5da0
- Implicit process is now 821f5da0
- .cache forcedecodeuser done
- Loading User Symbols
- .........
- kd> db 1000000
- 01000000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- 01000010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- 01000020 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- 01000030 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- 01000040 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- 01000050 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- 01000060 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
- 01000070 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
kd> .process /r /p 81e74b58 Implicit process is now 81e74b58 .cache forcedecodeuser done Loading User Symbols PEB is paged out (Peb.Ldr = 7ffdc00c). Type ".hh dbgerr001" for details kd> db 1000000 01000000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ.............. 01000010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@....... 01000020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................ 01000030 00 00 00 00 00 00 00 00-00 00 00 00 e0 00 00 00 ................ 01000040 0e 1f ba 0e 00 b4 09 cd-21 b8 01 4c cd 21 54 68 ........!..L.!Th 01000050 69 73 20 70 72 6f 67 72-61 6d 20 63 61 6e 6e 6f is program canno 01000060 74 20 62 65 20 72 75 6e-20 69 6e 20 44 4f 53 20 t be run in DOS 01000070 6d 6f 64 65 2e 0d 0d 0a-24 00 00 00 00 00 00 00 mode....$....... kd> .process /r /p 821f5da0 Implicit process is now 821f5da0 .cache forcedecodeuser done Loading User Symbols ......... kd> db 1000000 01000000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? 01000010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? 01000020 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? 01000030 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? 01000040 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? 01000050 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? 01000060 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ???????????????? 01000070 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
可以用/i来切换,它会进行实际的进程切换,所以执行后先g一下,如果使用了 /i,必须使用g (Go)命令来执行目标。数秒之后,目标会再次中断到调试器中,并且指定的Process 被激活并用作当前进程上下文。
jpg改rar
相关文章
- 鸿蒙轻内核源码分析:文件系统LittleFS
- 【Linux开发】linux设备驱动归纳总结(七):2.内核定时器
- 64位内核开发第十三讲,内核下C++编程
- 内核中通过进程PID获取进程的全部路径
- 64位内核开发第七讲,进程监视,ring3跟ring0事件同步.
- 64位内核第二讲,进程保护之对象钩子
- [svc]linux内核参数
- Linux 内核中的 Device Mapper 机制
- 为了写论文给 Linux “投毒”, Linux 内核维护者封杀明尼苏达大学
- Linux内核调试技术——进程D状态死锁检测
- linux进程的地址空间,核心栈,用户栈,内核线程
- 【原创】内核ShellCode注入的一种方法
- 嵌入式操作系统内核原理和开发(消息队列)
- 【内核】探究linux内核,超详细解析子系统
- 【Linux 内核】Linux 内核体系架构 ( 进程调度 | 内存管理 | 中断管理 | 设备管理 | 文件系统 )
- 【Linux 内核】Linux 操作系统结构 ( Linux 内核在操作系统中的层级 | Linux 内核子系统及关系 | 进程调度 | 内存管理 | 虚拟文件系统 | 网络管理 | 进程间通信 )
- RT-Thread操作系统在cortex-m3内核的移植原理
- 24小时学通Linux内核之进程
- Linux-3.14.12内存管理笔记【建立内核页表(3)
- 内核线程的进程描述符task_struct中的mm和active_mm
- Linux下的进程类别(内核线程、轻量级进程和用户进程)--Linux进程的管理与调度(四)
- 深入理解Linux内核-内核同步