Virtual Machine

 


Töötava protsessi juhtbloki andmestruktuuri vaatamine
Kohaliku tuuma „debugging“ käivitamiseks WinDbg-ga tuleb valida File menüüst Kernel Debug, valida Local vaheleht ja klikkida OK. Avaneva akna allosas peaks olema viip lkd> ja aknake, kuhu saab käske tippida. Käskusid saab vaadata Debugger.chm failist (abiinfo fail), lisaks saab kasutada dt (display type) käsku ca 1000 parameetriga. Kernel sümbol fail on vaja enne seadistada.
Kerneli struktuuride tüübi info saab käsuga dt nt!_*
Katkestuste objekti struktuuri saab käsuga dt nt!_*interrupt*:, selle väljundi esimene rida on „nt!_KINTERRUPT, selle sisu saab omakorda vaadata dt nt!_KINTERUPT: käsuga jne. Alamstruktuuride vaatamiseks peaks lisama võtme –r.
Aktiivsete protsesside (eprocess) struktuuride vaatamine: dt nt!_eprocess. Väljundi esimene rida on pcb, selle struktuuri saab vaadata dt _kprocess käsuga
Käsl !process ilma konkreetse mäluaadressita näitab ühetuumalise protsessori korral parasjagu täitmisel olevat protsessi CPU 0 –s, milleks on WinDbg ise
Protsessi keskkonnablokk (PEB) paikneb kasutajamoodi aadressruumis. Ta sisaldab infot, mida on vaja kujutise (image) laaduril, kuhjahalduril (heap manager) ja teistel Windows komponentidel, millised peavad ta poole pöörduma kasutajamoodis. Mingi kindla protsessi PEB vaatamiseks on vaja anda käsk !peb koos mäluaadressiga 16-süsteemis. Protsesside aadresside leidmiseks peab File menüüst valima Attach To A Process valiku. Valige Csrss ja kasutage tema aadressi !dp v käsus. W32PROCESS vaatamiseks: dt win32k!_W32PROCESS (aadress lisada)
Eksperiment lk 387-391 koopia kuni 407
Lõime struktuuride vaatamine: dt nt!_etread ja edasi dt nt!_ETREAD Tcb. Mingi protsessilõimede vaatamiseks peaks kasutama kõigepealt !process käsku, valima sealt lõime ja kasutama siis !thread käsku, lõime keskkonnablokki saab vaadata !teb käsuga

Capture

Capture

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga