首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[求助]Windbg 内核调试 —— 如何获取当前进行系统调用的进程信息
2023-8-2 17:38 2886

[求助]Windbg 内核调试 —— 如何获取当前进行系统调用的进程信息

AntiPsycho 活跃值
2023-8-2 17:38
2886

比如,我在 NtCreateFile 下断点,断下下来。
怎么知道是哪个进程调用了这个 NtCreateFile ?


[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。

收藏
点赞1
打赏
分享
最新回复 (4)
lracker
雪    币: 581
活跃值: (1072)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
lracker 2023-8-2 18:30
2
1
!process
昍昍
雪    币: 5870
活跃值: (1796)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
昍昍 2023-8-2 22:43
3
0

要不你问问 ChatGPT 先?

---------------------------------------------- 分割线 ----------------------------------------------

在 Windbg 中获取当前进行系统调用的进程信息可以通过查看当前线程的上下文来实现。当你在 NtCreateFile 下断点时,可以使用 !process 命令来获取当前线程所属的进程信息。具体步骤如下:


在 Windbg 中下断点,例如:


bp ntdll!NtCreateFile


运行程序,等待程序触发断点。


当程序触发断点时,使用 ~ 命令查看当前所有线程的信息。


~*


找到当前线程的编号,例如 0n1234。


使用 !process 命令来查看当前线程所属的进程信息,例如:


!process 0 0 0 0n1234


其中,0n1234 是当前线程的编号。


在输出中查找 PROCESS 字段,即可确定当前线程所属的进程。

注意,如果当前线程正在执行系统调用,那么它的上下文中会包含有关系统调用的信息,例如系统调用的函数名和参数。你可以使用 k 命令查看当前线程的调用栈,以查找系统调用的来源。
AntiPsycho
雪    币: 22
活跃值: (546)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
AntiPsycho 2023-8-3 08:50
4
0
lracker !process
ok 牛皮
AntiPsycho
雪    币: 22
活跃值: (546)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
AntiPsycho 2023-8-3 08:59
5
0

有 chatGPT 资源吗

最后于 2023-8-3 09:01 被AntiPsycho编辑 ,原因:
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回