在windbg中,如何在kernel32.dll中的所有函数上设置断点?
在 Windows 调试器 WinDbg 中,要在 kernel32.dll 中的所有函数上设置断点,可以使用以下步骤:
- 首先,使用 WinDbg 打开目标进程或内核模式调试。.symfix C:\Symbols
.reloadbp kernel32!CreateFileW.foreach (FuncName {ls kernel32!*}) { bp kernel32!$FuncName }这个脚本会将 kernel32.dll 中的所有函数名称放入 FuncName 变量中,并使用
bp命令在每个函数上设置断点。 - 加载符号文件,以便 WinDbg 能够识别 kernel32.dll 中的函数名称。可以使用以下命令加载符号文件:
- 使用
x kernel32!*命令查看 kernel32.dll 中的所有函数。 - 使用
bp kernel32!function_name命令在 kernel32.dll 中的指定函数上设置断点,例如: - 如果要在所有函数上设置断点,可以使用以下批处理脚本:
需要注意的是,在 kernel32.dll 中的函数数量非常大,设置这么多断点可能会导致调试器性能下降,因此在实际调试中需要谨慎使用。
相关·内容
3回答
什么是wkernel32.pdb
windbg
当我尝试重新加载kernel32.dll的符号时,windbg总是报告如下:
DBGHELP: d:\symbols\wkernel32.pdb - file not found
DBGHELP: d:\symbols\dll\wkernel32.pdb - file not found
DBGHELP: d:\symbols\symbols\dll\wkernel32.pdb - file not found
DBGHELP: C:\Windows\syswow64\wkernel32.pdb - file not found
DBGHELP: wkernel32.pdb - file no
浏览 1提问于2009-10-28得票数 2
回答已采纳
2回答
设置visual studio c++调试器以支持从内存加载的模块的符号
visual-studio、debugging、windbg、visual-studio-debugging
我使用下面的将DLL从内存加载到另一个正在运行的可执行文件上。使用常用方法调试以下模块将无法工作,因为调试器无法找到适当的PDB文件,更不用说让它知道DLL实际上已加载到进程中。我设法将它设置为与windbg一起工作的方法:
使用.reload [DLLLocationInMemory]=0x10000000,[DllSizeInMemory]a48194指定模块位于内存中的调试器及其长度
重新排列符号服务器.sympath SRV*C:\Symbols\MS\*http://msdl.microsoft.com/download/symbols;c:\mySpecialSymbols
浏览 3提问于2015-04-21得票数 2
回答已采纳
1回答
为windows dll/API函数调用分配函数断点
c#、visual-studio、debugging、dll
每当调用kernel32.dll函数时,我都会尝试设置断点。与此类似
我分配了一个函数断点,但在分配之后,它有一个符号说它们永远不会命中,它们不会命中。我需要在x86中做这件事,但我甚至不能让这个简单的64位断点工作。
我在Tools->Options/ did /Symbols中检查了"Microsoft Symbol Servers“,但缓存目录仍然是空的。我认为这就是问题所在,但不确定。如何确保正确加载dll调试符号?
示例代码。
using System;
using System.Runtime.InteropServices;
namespace DebugAPI
{
浏览 0提问于2018-12-20得票数 1
2回答
如何根据正在读取的注册表项在中设置断点?
.net、debugging、registry、breakpoints
我有一个混合使用托管和非托管代码的可执行文件。我没有源代码,但我可以反编译它。
我所知道的是,有时它会读取一个注册表项,然后根据注册表中的程序集名称加载一个经过管理的DLL。因此,我想在正在读取注册表项上设置一个断点,而不管它是读入托管代码还是非托管代码,然后查看(希望是托管的)堆栈跟踪。然后我的计划是使用从那里开始逐步执行反编译的代码,并观察有问题的DLL的使用情况。
这可以通过Visual Studio调试器、windbg或其他调试器实现吗?我对WinDbg不太熟悉,但如果我必须使用它,我会的。
浏览 2提问于2013-04-30得票数 1
2回答
如何在Visual跟踪点中打印寄存器偏移量?
c++、visual-studio、debugging、assembly、cpu-registers
我在一个我不拥有的函数中使用Visual (user32.dll的一部分),我想打印这个函数的参数。
如果我有该函数的源代码,我可以使用以下语法。
在从arg1调用的函数( {arg2},{arg2})中
但是,我没有user32.dll的调试信息,因此不能引用arg1。在“监视”窗口中,我能够从寄存器(*(int*)(ESP+4))中看到变量,但我无法在跟踪点的print选项中找到如何做到这一点。
当我尝试以下几点时:
在函数( {*(int*)($ESP+4)},{*(bool*)($ESP+8)} )中,从$CALLER调用
我得到:In函数(,)从OtherFunct
浏览 0提问于2011-12-01得票数 2
回答已采纳
4回答
我正在尝试使用Windows调试工具中的symproxy.dll设置符号代理。当我从调试器发出".reload /f“时,找不到任何符号文件。看起来Symproxy不会到Microsoft Symbol Server去实际获取符号。例如,我在Wireshark中看不到任何东西。
肯定加载了SYMPROXY.DLL --我可以在事件日志中看到一些条目,并且返回看起来有效的信息。
据我所知,我已经按照文档中的说明进行了操作。为什么symproxy不会访问微软的网站?我做错了什么?我需要这样做,因为我正在调试的机器没有外部访问。
运行symproxy的机器可以访问Internet --我经常
浏览 1提问于2008-12-23得票数 1
回答已采纳
1回答
如何使用包括"<>“(尖括号)的符号插入断点
windbg
我想使用名为"TSmartPointer::TSmartPointer“的符号在windbg中插入一个断点。
bp TSmartPointer<class CDataMemberMgr>::TSmartPointer<class CDataMemberMgr>
WinDbg注意到我没有找到任何符号。
我使用x命令搜索符号,但也没有找到符号:
x TSmartPointer<class CDataMemberMgr>::TSmartPointer<class CDataMemberMgr>
当我将"<“和">”替
浏览 0提问于2017-09-15得票数 1
1回答
在WinDbg中调试QT应用程序
qt、debugging、windbg、crash-dumps
我使用QT creator开发了一个QT应用程序。该程序有时会在Windows 7和XP上崩溃。上次发生这种情况时,我使用任务管理器创建了一个转储文件。我尝试使用WinDbg,但得到了很多关于它的错误,无法找到QT的'symbol‘文件:
*** ERROR: Symbol file could not be found. Defaulted to export symbols for QtWebKit4.dll -
*** ERROR: Symbol file could not be found. Defaulted to export symbols for QtCore4
浏览 0提问于2014-10-17得票数 2
1回答
内存转储中的DbgPrint?
windows、debugging、device-driver、kernel
我有一个驱动程序,可以直接避开BSoD,把Windows Vista的屏幕变成黑色,几乎没有彩色的圆点和条纹。之后,我在系统上发现了一个内存转储,DbgView很好地向我显示了堆栈跟踪(指出这可能是一个乱码堆栈,某些部分可能是不正确的)。遗憾的是,在堆栈中找到的命令在明显破坏整个代码的代码部分中看不到。(我可以离开我们的整个例程,但不是其中的一部分。)
有没有人知道如何将调试消息放入内存转储或从串口中读出,以便在外部调试器中读取它们?(如果调试器已连接,我的testsystem就会停止,但这可能是因为我不太了解远程连接内核调试的方式和原因。)
我想知道我的代码哪里失败了,因为浏览代码对我来说似
浏览 0提问于2009-07-27得票数 1
回答已采纳
1回答
“.symfix+”在cmd终端上不被识别
windows、debugging、windbg、debug-symbols
我正在尝试跟踪,并且在某一时刻,它要求设置。我执行了命令:
set _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols
紧接着是
.symfix+ C:\MySymbols
但我得到了臭名昭著的错误信息
“.symfix+”不被识别为内部或外部命令、可操作的程序或批处理文件。
运行命令systeminfo | findstr /B /C:"OS Name" /C:"OS Version"的环境是:
操作系统名称: Microsoft 10主页
浏览 6提问于2020-10-27得票数 0
回答已采纳
1回答
WinDbg“对内存位置的无效访问”- InitializeProcThreadAttributeList
c#、pinvoke、windbg
我对WinDbg比较陌生,所以我希望这只是我错过的明显的东西。我有一个.NET程序集,其中包含使用P/Invoke定义的函数调用InitializeProcThreadAttributeList、UpdateProcThreadAttribute和DeleteProcThreadAttributeList。所有这三个函数都是从"kernel32.dll“库导入的。我的目标是跟踪这些函数以理解正在使用的ntdll sys调用。
我试图使用以下命令设置一个断点:
bp KERNEL32!InitializeProcThreadAttributeList
,但得到了以下错误:
Couldn&
浏览 3提问于2021-01-19得票数 0
回答已采纳
3回答
如何在windbg内核模式下设置内存断点?
debugging、memory、reverse-engineering、windbg、breakpoints
我想在内核模式调试器的windbg中设置内存断点
我希望每次使用内核调试器命中usermode中的特定模块时,调试器都会中断。
但是我在某个地方读到过它是不可能设置的,为了创建一个内存断点,我必须编写一个插件来创建它
我尝试将SDbgExt插件与!vprotect命令一起使用,但它无法设置内存bp
如果我必须在内核模式下编写一个允许内存bp的插件,那么它必须是一个驱动程序吗?
我读过windows内部手册中的一些章节,但它对我一点帮助都没有。
我找不到太多关于如何开始处理它的信息
浏览 0提问于2016-02-29得票数 0
2回答
如何进行混合用户模式/内核模式的调试?
windbg、ida
基本上,我有一个调用kernel32.CreateProcessA()的用户模式程序,它内部调用kernel32.CreateProcessInternalW()。在这个函数中,我感兴趣的是ntdll.NtCreateSection()内部正在发生的事情,它试图映射虚拟内存中的可执行文件。在这个函数中,程序很快将内核调用设置为EAX=0x32,并执行SYSENTER指令。
显然,在用户模式调试器中,我看不出超出调用门的范围。我有一点调试内核模式驱动程序的经验,所以我在VMWare窗口中加载了XP VMWare的一个副本,并使用VirtualKD将管道连接到WinDbg (碰巧我正在WinDbg
浏览 5提问于2017-03-14得票数 12
回答已采纳
3回答
在windbg中,如何在kernel32.dll中的所有函数上设置断点?
c++、windbg
我想弄清楚在example.DLL的函数example()中对kernel32.dll的调用序列和函数。
在windbg中,如何在kernel32.dll中的所有函数上设置断点?
我试过bm kernel32!*,但似乎不起作用。
浏览 0提问于2009-12-05得票数 6
回答已采纳
1回答
如何调试jni dll
java、java-native-interface、ollydbg
我有一个小型的java程序。它加载一个jni,该dll加载一个普通的win32 dll。我想调试Java应用程序最终提供给win32 dll的一个特定调用的参数。我的计划是在ollydbg中的DLL调用上放置一个断点,然后检查堆栈。但是,当我在ollydbg中启动调试模式时,我必须提供一个可执行文件,所以我唯一的选择是向java.exe提供启动我的java程序所需的参数。但是,当DLL最终加载时,我只能在DLL中设置断点,这要求我基本上运行程序。我看不出我怎么不能“停止”执行来设置断点,如果我能以某种方式停止,我就不需要断点了。有人能告诉我我需要做什么吗?
浏览 4提问于2016-08-10得票数 1
回答已采纳
1回答
WinDbg:如何为.net程序设置本机断点
c#、.net、winapi、pinvoke、windbg
给出一个简单的.NET程序(来自):
using System;
using System.Text;
using System.Runtime.InteropServices;
using System.Runtime.Remoting;
class Sample
{
static void Main(string[] args)
{
MessageBox(IntPtr.Zero, "TEST", "TEST", 0);
}
[DllImport("user32.dll", SetLastErr
浏览 0提问于2018-03-12得票数 0
回答已采纳
2回答
WinDbg找不到微软符号
windbg
我有一个简单的演示控制台程序来调试,但令人惊讶的是,windbg不能从微软的默认存储符号。
我知道
.reload /f
我得到了总结:
************* Symbol Loading Error Summary **************
Module name Error
ConsoleApp PDB not found : cache*
Unable to locate the .pdb file in this location
The system
浏览 4提问于2016-06-27得票数 2
回答已采纳
1回答
在windbg中找不到符号路径
windows、debugging、crash、windbg、dmp
我将路径设置为
srv*C:\Users\swpapati\Desktop\admintool_crash\pdbs*http://msdl.microsoft.com/download/symbols
其中"C:\Users\swpapati\Desktop\admintool_crash\pdbs“存在,并且具有所需符号文件值的本地副本。
在加载dmp崩溃文件时,我可以在控制台上看到以下文本:-
在发出Command - .reload /f admintool.exe时,我可以得到以下错误,因为找不到符号文件。发出!analyze -v或.reload /f时出现类似错误
浏览 6提问于2020-04-28得票数 0
1回答
调试重命名的DLL?
debugging、windbg、symbols
我在尝试调试一个动态链接库时遇到了问题,这个动态链接库在构建后的过程中被重命名了: WinDBG无法加载正确的符号(pdb文件)。
示例:
原始文件名为: abc.dll
创建的PDB名为: abc.pdb
在后期生成过程中,DLL被重命名为'a-b.DLL‘。
由于某些原因,在调试时,我可以看到模块显示为'a_b.dll‘(连字符被下划线取代,不确定为什么会发生这种情况)。此外,WinDBG无法加载其符号。
我尝试了ld a_b /f abc,也尝试将PDB重命名为'a_b.pdb',然后调用.reload /f /i a_b,但同样不起作用。
所有这些都发生
浏览 0提问于2015-07-27得票数 5
1回答
调试Windows应用程序时无法理解此Windbg输出
c#、debugging、windows-phone-7、windows-phone-8、windbg
我正在调试从Windows开发中心获得的崩溃日志,如描述的和
当我运行命令windbg -y debug;DownstreamStore -i debug -z debug\<cabname>.cab -v时,
debug文件夹中包含的
我的应用程序符号文件(.pdb)
应用程序可执行文件(图像文件- .xap),以及
崩溃日志作为.cab文件
文件夹DownstreamStore包含Windows 8的符号,该符号使用.symfix+ DownstreamStore获得,如描述的。
此文件夹的内容如下:
agcore.pdb combase.pdb corec
浏览 0提问于2013-12-18得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
