[求助]请问一下怎么用WinDBg调试API函数，请看具体内容谢谢-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼反汇编后查看就可以了啊，比如查看OpenProcess,Windbg输入"u kernel32!OpenProcess" lkd> ld kernel32 Symbols loaded for kernel32 lkd> u kernel32!OpenProcess kernel32!OpenProcess: 7c81e079 8bff mov edi,edi 7c81e07b 55 push ebp 7c81e07c 8bec mov ebp,esp 7c81e07e 83ec20 sub esp,20h 7c81e081 8b4510 mov eax,dword ptr [ebp+10h] 7c81e084 8945f8 mov dword ptr [ebp-8],eax 7c81e087 8b450c mov eax,dword ptr [ebp+0Ch] 7c81e08a 56 push esi 2010-9-13 21:05 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 3 楼呵呵，谢谢大牛。我就是要的这个答案 2010-9-14 07:07 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 4 楼还会有大牛进来看吗？ lkd> ld kernel32 No modules matched 'kernel32' lkd> ld user32 No modules matched 'user32' 已经做了以下工作： lkd> .sympath SRVD:\WINDOWS\Symbolshttp://msdl.microsoft.com/download/symbols lkd> !sym noisy lkd> !lmi nt　　　　　　　　　　　//这里开始有问题 Loaded Module Info: [nt] Module: ntkrpamp Base Address: 804d8000 Image Name: ntkrpamp.exe Machine Type: 332 (I386) Time Stamp: 4bd6e04d Tue Apr 27 21:02:05 2010 Size: 20c000 CheckSum: 1fc58b Characteristics: 12e Debug Data Dirs: Type Size VA Pointer CODEVIEW 25, 9ff0, 95f0 RSDS - GUID: (0x46be65f3, 0x7705, 0x4d1d, 0x91, 0x90, 0x4d, 0xb7, 0x6a, 0x85, 0xd9, 0xb1) Age: 1, Pdb: ntkrpamp.pdb Image Type: FILE - Image read successfully from debugger. ntkrpamp.exe Symbol Type: PDB - Symbols loaded successfully from symbol server. D:\WINDOWS\Symbols\ntkrpamp.pdb\46BE65F377054D1D91904DB76A85D9B11\ntkrpamp.pdb Load Report: public symbols , not source indexed D:\WINDOWS\Symbols\ntkrpamp.pdb\46BE65F377054D1D91904DB76A85D9B11\ntkrpamp.pdb lkd> .reload /f nt SYMSRV: D:\WINDOWS\Symbols\ntoskrnl.exe\4BD6E04D20c000\ntoskrnl.exe not found SYMSRV: http://msdl.microsoft.com/download/symbols/ntoskrnl.exe/4BD6E04D20c000/ntoskrnl.exe not found SYMSRV: D:\WINDOWS\Symbols\ntkrnlup.exe\4BD6E04D20c000\ntkrnlup.exe not found SYMSRV: http://msdl.microsoft.com/download/symbols/ntkrnlup.exe/4BD6E04D20c000/ntkrnlup.exe not found SYMSRV: D:\WINDOWS\Symbols\ntkrnlpa.exe\4BD6E04D20c000\ntkrnlpa.exe not found SYMSRV: http://msdl.microsoft.com/download/symbols/ntkrnlpa.exe/4BD6E04D20c000/ntkrnlpa.exe not found SYMSRV: D:\WINDOWS\Symbols\ntkrnlmp.exe\4BD6E04D20c000\ntkrnlmp.exe not found SYMSRV: http://msdl.microsoft.com/download/symbols/ntkrnlmp.exe/4BD6E04D20c000/ntkrnlmp.exe not found DBGHELP: D:\WINDOWS\Symbols\ntkrpamp.exe\4BD6E04D20c000\ntkrpamp.exe - OK DBGENG: D:\WINDOWS\Symbols\ntkrpamp.exe\4BD6E04D20c000\ntkrpamp.exe - Mapped image memory DBGHELP: nt - public symbols D:\WINDOWS\Symbols\ntkrpamp.pdb\46BE65F377054D1D91904DB76A85D9B11\ntkrpamp.pdb lkd> !peb GetContextState failed, 0x80004001 GetContextState failed, 0x80004001 PEB NULL... 2010-9-14 07:57 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 5 楼装了360？ 2010-9-14 09:24 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 6 楼恩，装了，是360的问题吗？该怎么办呢？ 2010-9-14 09:34 0
defddr 雪币： 37 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	defddr 7 楼如果是360 卸载了或者找个干净系统再调试么 2010-9-14 10:22 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼不是360的问题，是本地内核调试模式默认不显示ring3模块，所以也无法加载对应的符号，需要搞点小动作才行。你可以用windbg调试任意一个ring3程序，那样容易些～ 2010-9-14 20:01 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 9 楼如果有大牛指点一下，我到是不怕麻烦，学习本身就是件麻烦的事。 2010-9-15 08:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼反汇编后查看就可以了啊，比如查看OpenProcess,Windbg输入"u kernel32!OpenProcess" lkd> ld kernel32 Symbols loaded for kernel32 lkd> u kernel32!OpenProcess kernel32!OpenProcess: 7c81e079 8bff mov edi,edi 7c81e07b 55 push ebp 7c81e07c 8bec mov ebp,esp 7c81e07e 83ec20 sub esp,20h 7c81e081 8b4510 mov eax,dword ptr [ebp+10h] 7c81e084 8945f8 mov dword ptr [ebp-8],eax 7c81e087 8b450c mov eax,dword ptr [ebp+0Ch] 7c81e08a 56 push esi 2010-9-13 21:05 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 3 楼呵呵，谢谢大牛。我就是要的这个答案 2010-9-14 07:07 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 4 楼还会有大牛进来看吗？ lkd> ld kernel32 No modules matched 'kernel32' lkd> ld user32 No modules matched 'user32' 已经做了以下工作： lkd> .sympath SRVD:\WINDOWS\Symbolshttp://msdl.microsoft.com/download/symbols lkd> !sym noisy lkd> !lmi nt　　　　　　　　　　　//这里开始有问题 Loaded Module Info: [nt] Module: ntkrpamp Base Address: 804d8000 Image Name: ntkrpamp.exe Machine Type: 332 (I386) Time Stamp: 4bd6e04d Tue Apr 27 21:02:05 2010 Size: 20c000 CheckSum: 1fc58b Characteristics: 12e Debug Data Dirs: Type Size VA Pointer CODEVIEW 25, 9ff0, 95f0 RSDS - GUID: (0x46be65f3, 0x7705, 0x4d1d, 0x91, 0x90, 0x4d, 0xb7, 0x6a, 0x85, 0xd9, 0xb1) Age: 1, Pdb: ntkrpamp.pdb Image Type: FILE - Image read successfully from debugger. ntkrpamp.exe Symbol Type: PDB - Symbols loaded successfully from symbol server. D:\WINDOWS\Symbols\ntkrpamp.pdb\46BE65F377054D1D91904DB76A85D9B11\ntkrpamp.pdb Load Report: public symbols , not source indexed D:\WINDOWS\Symbols\ntkrpamp.pdb\46BE65F377054D1D91904DB76A85D9B11\ntkrpamp.pdb lkd> .reload /f nt SYMSRV: D:\WINDOWS\Symbols\ntoskrnl.exe\4BD6E04D20c000\ntoskrnl.exe not found SYMSRV: http://msdl.microsoft.com/download/symbols/ntoskrnl.exe/4BD6E04D20c000/ntoskrnl.exe not found SYMSRV: D:\WINDOWS\Symbols\ntkrnlup.exe\4BD6E04D20c000\ntkrnlup.exe not found SYMSRV: http://msdl.microsoft.com/download/symbols/ntkrnlup.exe/4BD6E04D20c000/ntkrnlup.exe not found SYMSRV: D:\WINDOWS\Symbols\ntkrnlpa.exe\4BD6E04D20c000\ntkrnlpa.exe not found SYMSRV: http://msdl.microsoft.com/download/symbols/ntkrnlpa.exe/4BD6E04D20c000/ntkrnlpa.exe not found SYMSRV: D:\WINDOWS\Symbols\ntkrnlmp.exe\4BD6E04D20c000\ntkrnlmp.exe not found SYMSRV: http://msdl.microsoft.com/download/symbols/ntkrnlmp.exe/4BD6E04D20c000/ntkrnlmp.exe not found DBGHELP: D:\WINDOWS\Symbols\ntkrpamp.exe\4BD6E04D20c000\ntkrpamp.exe - OK DBGENG: D:\WINDOWS\Symbols\ntkrpamp.exe\4BD6E04D20c000\ntkrpamp.exe - Mapped image memory DBGHELP: nt - public symbols D:\WINDOWS\Symbols\ntkrpamp.pdb\46BE65F377054D1D91904DB76A85D9B11\ntkrpamp.pdb lkd> !peb GetContextState failed, 0x80004001 GetContextState failed, 0x80004001 PEB NULL... 2010-9-14 07:57 0
exile 雪币： 2105 活跃值： (424) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 1266 粉丝 2 关注私信	exile 1 5 楼装了360？ 2010-9-14 09:24 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 6 楼恩，装了，是360的问题吗？该怎么办呢？ 2010-9-14 09:34 0
defddr 雪币： 37 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 49 粉丝 0 关注私信	defddr 7 楼如果是360 卸载了或者找个干净系统再调试么 2010-9-14 10:22 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 8 楼不是360的问题，是本地内核调试模式默认不显示ring3模块，所以也无法加载对应的符号，需要搞点小动作才行。你可以用windbg调试任意一个ring3程序，那样容易些～ 2010-9-14 20:01 0
liyongwu 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 89 粉丝 0 关注私信	liyongwu 9 楼如果有大牛指点一下，我到是不怕麻烦，学习本身就是件麻烦的事。 2010-9-15 08:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复