Странно - топики с вопросами по использованию Ida, Syser есть, а по использованию WinDbg нет. Понимаю, что он более менее документирован, но в его документации черт ногу сломит и в его статьях нередко нет перекрестных ссылок. Хотя сами вопросы были в других темах... Предлагаю здесь задавать вопросы по использованию отладчика WinDbg. Собственно, я первый вопрос задам:

Возникла задача, суть которой проверить предположение, что р0-файловый монитор(драйвер) отлавливает все обращения к файлу, выполняет некоторые проверки, и если условия выполняются, то передает команду (возможных схем много) р3-службе(процессу), в следствие которой эта служба открывает тот же файл. Многочисленные поиски по chm-файлу и переносы ссылок во вкладки ie, попытки методом тыка привели вот к такой команде:

bp <адрес инструкции обращения к сервису ZwCreateFile> "dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p); bp /1 /p <EPROCESS службы> nt!ZwCreateFile \"dd /c 1 @esp + 0xC L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p)\"; g"

Команда установки точек останова еще будет улучшаться, суть не в этом! Использование псевдорегистра $p, который дает последний вывод команд d*- тормозит весь процесс на секунду-две. В итоге составная команда
dd /c 1 @esp + 8 L1; dt nt!_OBJECT_ATTRIBUTES ObjectName @@masm($p);
- не лучший способ достижения описанной цели. Вопрос: можно ли заменить более быстрым аналогом в WinDbg ?

-----
IZ.RU

| Сообщение посчитали полезным: stereo2013

morgot
А он есть вообще?

dt -t nt!*

| Сообщение посчитали полезным:

Alchemistry
у меня эта команда почему-то ничего не выводит, ни в старом виндбг, ни в новом.
А от чего зависит? Я думал, что если это структуры Майкрософт (документированные, стандартные) то должны быть символы.
.sympath указан.

| Сообщение посчитали полезным:

morgot

Тебе вд точно не нужен, ты не знаешь архитектуру. У тебя не может быть задачи, для которой нужен этот инструмент. Даже я им не пользуюсь, есть более простые пути решения.

А на васме ты вроде говорил что у тебя три звезды, но я вижу лишь одну.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Даже я им не пользуюсь,
Эталон.. ****ть..

Добавлено спустя 4 минуты
difexacaw пишет:
у тебя три звезды
Имхо - ты уже не ....к, ты будешь теперь звездочетом..

| Сообщение посчитали полезным:

sefkrd

Ты наверно наивно думаешь что для сложных задач нужен сложный инструмент, на самом деле это не так. Чем проще инструменты тем выше скилл, так как незачем стрелять по мухам когда это не нужно. Ну а звёзды - у меня их мало, хотелось бы больше.

-----
vx

| Сообщение посчитали полезным:

difexacaw пишет:
Тебе вд точно не нужен, ты не знаешь архитектуру. У тебя не может быть задачи, для которой нужен этот инструмент. Даже я им не пользуюсь, есть более простые пути решения.

Мне нужно посмотреть системные структуры. Вот как в студии свои сорцы дебажишь, там видно что в каком поле. В виндбг такое было возможно для некоторых структур (РЕВ , еще что-то), а вот конкретно с этой не получается.
А так да, мне этот инструмент не принципиален.

оффтоп:
difexacaw пишет:
А на васме ты вроде говорил что у тебя три звезды, но я вижу лишь одну.

Это вы с f13nd говорили, я просто упомянул, что три звезды у полковников.

| Сообщение посчитали полезным:

difexacaw пишет:
Ты наверно наивно думаешь что для сложных задач нужен сложный инструмент
Вот ты мне ответь - тЫ дурак..
Ты скажешь: "нет"
Я скажу "да" - докажи обратное..
Снова оффтоп..

| Сообщение посчитали полезным:

difexacaw пишет:
Даже я им не пользуюсь
Мы можем быть за тебя спокойны: от скромности ты не умрешь!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: difexacaw

plutos

Ну я знаю систему лучше чем вы все вместе взятые, это даже не обсуждается. Дело в другом, чтобы использовать вд нужно так же хорошо её знать. Нельзя путать коды ошибок с описателями и при таком подходе взять и заюзать вд, это невозможно, это ведь ядерный отладчик.

-----
vx

| Сообщение посчитали полезным: plutos

morgot
.symfix
.reload

в символах этой структуры может и не быть (а там много чего нет).
Используй !vprot address (!vadump для списка регионов)

p.s.
конкретно у тебя юзермод приложение, соответственно лист символов будет dt -t ntdll!*
дальше если каких то символов там нет (а эта MEMORY_BASIC_INFORMATION это специфичная структура для ядра не нужная поскольку там vad), ищешь пдб с подходящими символами

!sym noisy (выдаст подробные сообщения по загрузке пдб)
.reload /f

перегружаешь символы, смотришь где там есть pdb с public/private symbols и делаешь ему дамп dt -t modulename!*
касательно твоего кейса у меня, например, эта структура нашлась в combase.pdb (первое что попалось на глаза),

dt combase!_MEMORY_BASIC_INFORMATION
+0x000 BaseAddress : Ptr64 Void
+0x008 AllocationBase : Ptr64 Void
+0x010 AllocationProtect : Uint4B
+0x018 RegionSize : Uint8B
+0x020 State : Uint4B
+0x024 Protect : Uint4B
+0x028 Type : Uint4B

windbg это многоцелевой отладчик, не слушай это могилевского наркомана.

| Сообщение посчитали полезным: morgot, Bronco

Alchemistry

Юзермод отлаживать через вд кто из нас есчо наркоман)

Про анализ кода, реверс не слышали конечно же.

-----
vx

| Сообщение посчитали полезным:

morgot пишет:
Мне нужно посмотреть системные структуры.
хз могу ошибаться, но на всякий случай закину утилю для карты памяти юм процесса.
Alchemistry пишет:
не слушай это могилевского наркомана.
упс..3 поста, по сабжу лёгким ветерком, и вроде пластинку сменил, а какашки на ней те же.

-----
Чтобы юзер в нэте не делал,его всё равно жалко..

| Сообщение посчитали полезным: plutos

Bronco
да у него одна и таже композиция везде, вот эта илитная

команды сабжа не знает, работать с ним не умеет, зато искперд всея беларуси по вин2к исходникам

difexacaw
нечего сказать по конкретному вопросу - нечего и в тему лезть со своей наркоманией

| Сообщение посчитали полезным: sefkrd

Bronco пишет:
закину утилю для карты памяти юм процесса.


Вроде полезная штучка. У тебя уже собраная есть? Если "да", пожалуйста, залей куда-нибудь.
Заранее спасибо!

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
У тебя уже собраная есть?
Собирал не я, а вроде как сам автор.

Добавлено спустя 0 минут
https://dropmefiles.com/S6pwv

| Сообщение посчитали полезным: plutos