[求助]应用层调用 DbgPrintEx 无输出-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]应用层调用 DbgPrintEx 无输出

发表于: 2023-3-12 14:46 6611

[求助]应用层调用 DbgPrintEx 无输出

ThanatosKer 活跃值

2023-3-12 14:46

6611

typedef NTSYSCALLAPI ULONG(NTAPI* fnDbgPrintEx)(
    ULONG ComponentId,
    ULONG Level,
    PCSTR Format,
    ...
    );
 
fnDbgPrintEx DbgPrintEx = NULL;
#define kprintf(...) DbgPrintEx(0, 0, __VA_ARGS__)
void CTestDbgPrintDlg::OnBnClickedButton1()
{
 
    // TODO: 在此添加控件通知处理程序代码
    HMODULE ntdll = GetModuleHandle(L"NTDLL.DLL");
    if (ntdll!=NULL)
    {
        DbgPrintEx = (fnDbgPrintEx)GetProcAddress(ntdll, "DbgPrintEx");
        if (DbgPrintEx)
        {
            DbgPrintEx(0, 0, "hello world");
            kprintf("Hello World");
        }
    }
}

我想在应用层调用 DbgPrintEx 这个函数 ntdll.dll 也是导出函数调用无输出各位大佬麻烦看看吧

2023.3.12 16点48分

发现自己设置的回调

可以捕获内核输出但是 3环的就不能捕获 windbg 可以正常输出

 内核
#define dbg()      DbgBreakPoint() //断点
//DebugPrintCallback
VOID MyDebugPrintCallback(_In_ PSTRING Output, _In_ ULONG ComponentId, _In_ ULONG Level)
{
    if (Output != NULL && Output->Buffer != NULL)
    {
        dbg();
 
    }
}
 
 
//DebugPrintCallback卸载
NTSTATUS DbgViewRemove() {
 
    return DbgSetDebugPrintCallback(MyDebugPrintCallback, FALSE);
}
//DebugPrintCallback安装
NTSTATUS DbgViewInstall() {
    return DbgSetDebugPrintCallback(MyDebugPrintCallback, TRUE);
}

难道这个函数

1	`DbgPrintEx`

还要看什么吗

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2023-3-12 16:50 被ThanatosKer编辑，原因：

#驱动开发

收藏・1

免费・1

支持

赞赏记录

参与人

雪币

留言

时间

pysafe

为你点赞~

2023-5-6 10:32

最新回复 (13)
咖啡_741298 雪币： 4 活跃值： (4095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 151 粉丝 2 关注私信	咖啡_741298 2 楼这个函数得挂调试器才有输出 2023-3-12 16:23 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 3 楼咖啡_741298 这个函数得挂调试器才有输出用了dbgview 没用但是内核用这个函数可以输出最后于 2023-3-12 16:53 被ThanatosKer编辑，原因： 2023-3-12 16:47 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 4 楼 2023-3-12 16:53 0
piaoyi587 雪币： 3643 活跃值： (4648) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 198 粉丝 8 关注私信	piaoyi587 5 楼在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下新建新的键“Debug Print Filter” 在新建的键中添加新的值，名为“DEFAULT”的DWORD类型值，并将值设为8 重启 OK 2023-3-12 17:24 0
gamehack 雪币： 6832 活跃值： (6381) 能力值： ( LV5，RANK：65 ) 在线值：发帖 5 回帖 437 粉丝 21 关注私信	gamehack 6 楼不会内核,没用过这个,应用层我都是用OutputDebugString() 2023-3-12 17:58 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 7 楼 iamasbcx 在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下新建新的键“Debug Print Filter” 在新建的键中添加新的值，名为“DEF ... 我试了没效果 2023-3-12 20:25 0
AA056 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	AA056 8 楼你好，问题解决了吗？ 2023-3-13 12:21 0
zz77 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	zz77 9 楼估计是权限问题，都用管理员打开，dbgview要打开Global。需要有Event, \BaseNamedObjects\DBWIN_BUFFER_READY, Full control 否则只有Event, \Sessions\1\BaseNamedObjects\DBWIN_BUFFER_READY, Full control 2023-3-13 16:17 0
咖啡_741298 雪币： 4 活跃值： (4095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 151 粉丝 2 关注私信	咖啡_741298 10 楼 ThanatosKer 咖啡_741298 这个函数得挂调试器才有输出用了dbgview 没用但是内核用这个函数可以输出挂调试器啊，输出在调试器里面，被调试器捕获， debugview是走的共享通信捕获 2023-3-13 16:26 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 11 楼咖啡_741298 挂调试器啊，输出在调试器里面，被调试器捕获， debugview是走的共享通信捕获为啥内核 DbgPrintEx 能被 debugview 捕获而应用层的DbgPrintEx debugview不能捕获呢 windbg 就可以捕获应用层的DbgPrintEx 2023-3-14 14:40 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 12 楼 zz77 估计是权限问题，都用管理员打开，dbgview要打开Global。需要有Event, \BaseNamedObjects\DBWIN_BUFFER_READY, Full control 否则只 ... 用管理员了 2023-3-14 14:40 0
咖啡_741298 雪币： 4 活跃值： (4095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 151 粉丝 2 关注私信	咖啡_741298 13 楼 ThanatosKer 为啥内核 DbgPrintEx 能被 debugview 捕获而应用层的DbgPrintEx debugview不能捕获呢 windbg 就可以捕获应用层的DbgPrintEx [em_16] debugview 有驱动，所以能获取驱动的DbgPrintEx输出。 R3程序要输出到debugview 走的是共享内存和事件同步 2023-3-14 16:14 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 14 楼咖啡_741298 debugview 有驱动，所以能获取驱动的DbgPrintEx输出。 R3程序要输出到debugview 走的是共享内存和事件同步熬 2023-3-14 19:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ThanatosKer

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (13)
咖啡_741298 雪币： 4 活跃值： (4095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 151 粉丝 2 关注私信	咖啡_741298 2 楼这个函数得挂调试器才有输出 2023-3-12 16:23 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 3 楼咖啡_741298 这个函数得挂调试器才有输出用了dbgview 没用但是内核用这个函数可以输出最后于 2023-3-12 16:53 被ThanatosKer编辑，原因： 2023-3-12 16:47 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 4 楼 2023-3-12 16:53 0
piaoyi587 雪币： 3643 活跃值： (4648) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 198 粉丝 8 关注私信	piaoyi587 5 楼在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下新建新的键“Debug Print Filter” 在新建的键中添加新的值，名为“DEFAULT”的DWORD类型值，并将值设为8 重启 OK 2023-3-12 17:24 0
gamehack 雪币： 6832 活跃值： (6381) 能力值： ( LV5，RANK：65 ) 在线值：发帖 5 回帖 437 粉丝 21 关注私信	gamehack 6 楼不会内核,没用过这个,应用层我都是用OutputDebugString() 2023-3-12 17:58 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 7 楼 iamasbcx 在HKLM\SYSTEM\CurrentControlSet\Control\Session Manager下新建新的键“Debug Print Filter” 在新建的键中添加新的值，名为“DEF ... 我试了没效果 2023-3-12 20:25 0
AA056 雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	AA056 8 楼你好，问题解决了吗？ 2023-3-13 12:21 0
zz77 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	zz77 9 楼估计是权限问题，都用管理员打开，dbgview要打开Global。需要有Event, \BaseNamedObjects\DBWIN_BUFFER_READY, Full control 否则只有Event, \Sessions\1\BaseNamedObjects\DBWIN_BUFFER_READY, Full control 2023-3-13 16:17 0
咖啡_741298 雪币： 4 活跃值： (4095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 151 粉丝 2 关注私信	咖啡_741298 10 楼 ThanatosKer 咖啡_741298 这个函数得挂调试器才有输出用了dbgview 没用但是内核用这个函数可以输出挂调试器啊，输出在调试器里面，被调试器捕获， debugview是走的共享通信捕获 2023-3-13 16:26 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 11 楼咖啡_741298 挂调试器啊，输出在调试器里面，被调试器捕获， debugview是走的共享通信捕获为啥内核 DbgPrintEx 能被 debugview 捕获而应用层的DbgPrintEx debugview不能捕获呢 windbg 就可以捕获应用层的DbgPrintEx 2023-3-14 14:40 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 12 楼 zz77 估计是权限问题，都用管理员打开，dbgview要打开Global。需要有Event, \BaseNamedObjects\DBWIN_BUFFER_READY, Full control 否则只 ... 用管理员了 2023-3-14 14:40 0
咖啡_741298 雪币： 4 活跃值： (4095) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 151 粉丝 2 关注私信	咖啡_741298 13 楼 ThanatosKer 为啥内核 DbgPrintEx 能被 debugview 捕获而应用层的DbgPrintEx debugview不能捕获呢 windbg 就可以捕获应用层的DbgPrintEx [em_16] debugview 有驱动，所以能获取驱动的DbgPrintEx输出。 R3程序要输出到debugview 走的是共享内存和事件同步 2023-3-14 16:14 0
ThanatosKer 雪币： 46 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	ThanatosKer 14 楼咖啡_741298 debugview 有驱动，所以能获取驱动的DbgPrintEx输出。 R3程序要输出到debugview 走的是共享内存和事件同步熬 2023-3-14 19:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]应用层调用 DbgPrintEx 无输出

账号登录 验证码登录

账号登录

验证码登录