**Töötava protsessi juhtbloki andmestruktuuri vaatamine
**Kohaliku tuuma „debugging“ käivitamiseks WinDbg-ga :
¤ Tuleb valida File menüüst Kernel Debug, siis
¤Tuleb valida Local vaheleht ja klikkida OK.
** Avaneva akna allosas peaks olema viip lkd > ja aknake, kuhu saab käske tippida.
**Käskusid saab vaadata Debugger.chm failist (abiinfo fail) ning lisaks saab kasutada dt (display type) käsku ca 1000 parameetriga.
**Kerneli sümbol fail on vaja enne seadistada.
***Kerneli struktuuride tüübi info saab käsuga dt nt!_*
***Katkestuste objekti struktuuri saab käsuga dt nt!_*interrupt*:, selle väljundi esimene rida on „nt!_KINTERRUPT, selle sisu saab omakorda vaadata dt nt!_KINTERUPT: käsuga.
***Alamstruktuuride vaatamiseks peaks lisama võtme –r.
***Aktiivsete protsesside (eprocess) struktuuride vaatamine: dt nt!_eprocess.
***Väljundi esimene rida on pcb, selle struktuuri saab vaadata dt _kprocess käsuga
***Käsk !process ilma konkreetse mäluaadressita näitab ühetuumalise protsessori korral parasjagu täitmisel olevat protsessi CPU 0 –s, milleks on WinDbg ise.
****Protsessi keskkonnablokk (PEB) paikneb kasutajamoodi aadressruumis.
**** Ta sisaldab infot, mida on vaja kujutise (image) laaduril, kuhjahalduril (heap manager) ja teistel Windows komponentidel, millised peavad ta poole pöörduma kasutajamoodis.
****Mingi kindla protsessi PEB vaatamiseks on vaja anda käsk !peb koos mäluaadressiga 16-süsteemis.
****Protsesside aadresside leidmiseks peab File menüüst valima Attach To A Process valiku.
***Valige Csrss ja kasutage tema aadressi !dp v käsus.
***W32PROCESS vaatamiseks: dt win32k!_W32PROCESS (aadress lisada)
****Lõime struktuuride vaatamine: dt nt!_etread ja edasi dt nt!_ETREAD Tcb.
****Mingi protsessilõimede vaatamiseks peaks kasutama kõigepealt !process käsku ning sealt tuleks valida lõime ja siis seda kasutada !thread käsku, lõime keskkonnablokki saab vaadata !teb käsuga.
PILTE SELLE TEEMA KOHTA :
Kommentaare ei ole:
Postita kommentaar