學習windbg - (1)檢視核心資料結構
darkbasic 2007.05.03
首先進入本地核心除錯,選單「file」 -- 「kernel debug..」,選「local」項,確定。
然後要設定好符號檔案,windbg就是通過符號檔案才能顯出核心資料結構。
對於檢視核心資料結構,我們只要設定好ntoskrnl.exe的符號檔案就可以了。
//設定符號檔案路徑到本地及微軟伺服器:
可以看到,ntoskrnl的符號檔案已經成功載入了,現在就可以用dt (display type)命令來檢視核心資料結構了。
//列出所有的核心資料結構的名稱:
lkd> dt nt!_*
nt!_list_entry
nt!_list_entry
nt!_image_nt_headers
nt!_image_file_header
nt!_image_optional_header
nt!_image_nt_headers
nt!_large_integer
//列出driver_object的結構
lkd> dt nt!_driver_object
+0x000 type : int2b
+0x002 size : int2b
+0x004 deviceobject : ptr32 _device_object
+0x008 flags : uint4b
+0x00c driverstart : ptr32 void
+0x010 driversize : uint4b
+0x014 driversection : ptr32 void
+0x018 driverextension : ptr32 _driver_extension
+0x01c drivername : _unicode_string
+0x024 hardwaredatabase : ptr32 _unicode_string
+0x028 fastiodispatch : ptr32 _fast_io_dispatch
+0x02c driverinit : ptr32
+0x030 driverstartio : ptr32
+0x034 driverunload : ptr32
+0x038 majorfunction : [28] ptr32
//清屏
.cls
Linux 檢視CPU核心數 記憶體
cat proc cpuinfo grep model name cat proc cpuinfo grep physical id 總核數 物理cpu個數 x 每顆物理cpu的核數 總邏輯cpu數 物理cpu個數 x 每顆物理cpu的核數 x 超執行緒數 檢視物理cpu個數 cat proc cp...
Ubuntu 檢視cpu個數及核心數
總核數 物理cpu個數 x 每顆物理cpu的核數 總邏輯cpu數 物理cpu個數 x 每顆物理cpu的核數 x 超執行緒數 檢視物理cpu個數 cat proc cpuinfo grep physical id sort uniq wc l 檢視每個物理cpu中core的個數 即核數 cat pro...
Windbg除錯核心驅動方法1
一般說來,調速驅動程式分為兩種 1.存在pdb檔案的除錯 這裡的pdb檔案其實就是除錯符號檔案,假如我們除錯的這樣的檔案,我們可以再windbg中使用 bp 驅動名 driverentry,這個時候當載入驅動的時候,程式就會斷在入口了。2.沒有pdb檔案的除錯 在除錯別人的驅動程式時,也就是自己只有...