windbg调试目标机器xp,不知道为什么目标机器一直重启

C/C++ > C语言
收藏 回复
[问题点数:20分,结帖人VirtualRookit]
更多帖子
私信 空间 博客
VirtualRookit
等级
本版专家分:69
结帖率 100%
我用windbg调试xp..加载完我的驱动后不知道为什么被调试机就自动重启了,windbg返回内容如下,高手们给指明下,谢咯。
*** Fatal System Error: 0x0000007f
                       (0x00000008,0x80042000,0x00000000,0x00000000)

Break instruction exception - code 80000003 (first chance)

A fatal system error has occurred.
Debugger entered on first try; Bugcheck callbacks have not been invoked.

A fatal system error has occurred.

*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 7F, {8, 80042000, 0, 0}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*** ERROR: Module load completed but symbols could not be loaded for mssmbios.sys
*************************************************************************
***                                                                   ***
***                                                                   ***
***    Your debugger is not using the correct symbols                 ***
***                                                                   ***
***    In order for this command to work properly, your symbol path   ***
***    must point to .pdb files that have full type information.      ***
***                                                                   ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                   ***
***    Type referenced: nt!_KPRCB                                     ***
***                                                                   ***
*************************************************************************
*************************************************************************
***                                                                   ***
***                                                                   ***
***    Your debugger is not using the correct symbols                 ***
***                                                                   ***
***    In order for this command to work properly, your symbol path   ***
***    must point to .pdb files that have full type information.      ***
***                                                                   ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                   ***
***    Type referenced: nt!_KPRCB                                     ***
***                                                                   ***
*************************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************
Probably caused by : ntkrnlpa.exe ( nt!KeRegisterBugCheckReasonCallback+77c )

Followup: MachineOwner
---------

nt!DbgBreakPointWithStatus+0x4:
80528bec cc              int     3
kd> !analyze -v
UNEXPECTED_KERNEL_MODE_TRAP (7f)
Endif
kb will then show the corrected stack.
Arguments:
Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
Arg2: 80042000
Arg3: 00000000
Arg4: 00000000

Debugging Details:
------------------

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

*************************************************************************
***                                                                   ***
***                                                                   ***
***    Your debugger is not using the correct symbols                 ***
***                                                                   ***
***    In order for this command to work properly, your symbol path   ***
***    must point to .pdb files that have full type information.      ***
***                                                                   ***
***    Certain .pdb files (such as the public OS symbols) do not      ***
***    contain the required information.  Contact the group that      ***
***    provided you with these symbols if you need this command to    ***
***    work.                                                          ***
***                                                                   ***
***    Type referenced: nt!_KPRCB                                     ***
***                                                                   ***
*************************************************************************
*********************************************************************
* Symbols can not be loaded because symbol path is not initialized. *
*                                                                   *
* The Symbol Path can be set by:                                    *
*   using the _NT_SYMBOL_PATH environment variable.                 *
*   using the -y <symbol_path> argument when starting the debugger. *
*   using .sympath and .sympath+                                    *
*********************************************************************

ADDITIONAL_DEBUG_TEXT:  
Use '!findthebuild' command to search for the target build information.
If the build information is available, run '!findthebuild -s ; .reload' to set symbol path and load symbols.

MODULE_NAME: nt

FAULTING_MODULE: 804d8000 nt

DEBUG_FLR_IMAGE_TIMESTAMP:  48a3fbd8

BUGCHECK_STR:  0x7f_8

DEFAULT_BUCKET_ID:  DRIVER_FAULT

LAST_CONTROL_TRANSFER:  from 804f979a to 80528bec

STACK_TEXT:  
WARNING: Stack unwind information not available. Following frames may be wrong.
80547b7c 804f979a 00000003 00000000 00000000 nt!DbgBreakPointWithStatus+0x4
80547f5c 80540522 0000007f 00000008 80042000 nt!KeRegisterBugCheckReasonCallback+0x77c
00000000 00000000 00000000 00000000 00000000 nt!Kei386EoiHelper+0x166a


STACK_COMMAND:  kb

FOLLOWUP_IP: 
nt!KeRegisterBugCheckReasonCallback+77c
804f979a e8f1710000      call    nt!ZwYieldExecution+0x630 (80500990)

SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  nt!KeRegisterBugCheckReasonCallback+77c

FOLLOWUP_NAME:  MachineOwner

IMAGE_NAME:  ntkrnlpa.exe

BUCKET_ID:  WRONG_SYMBOLS

Followup: MachineOwner
---------

只看楼主 引用 举报 楼主 收起
展开阅读全文
更多帖子
私信 空间 博客
bluewanderer
等级
本版专家分:10193
在你的驱动入口加个断点吧,搞不好是栈结构已经毁了
只看TA 引用 举报 #1得分 0
更多帖子
私信 空间 博客
VirtualRookit
等级
本版专家分:69
代码如下,再DriverEntry返回时,系统还正常着,DriverEntry返回几秒后就出现状态了,
NTSTATUS 
DriverEntry(
__in struct _DRIVER_OBJECT  *pDriverObject, 
__in PUNICODE_STRING  pRegistryPath
)
{
NTSTATUS ntStatus;
UNICODE_STRING DeviceName; //设备名称
UNICODE_STRING SymbolicLinkName; //设备符号链接名,供win32链接使用
PDEVICE_OBJECT pDeviceObject ; //指向设备对象的指针
#ifdef DBG
_asm int 3;
#endif
RtlInitUnicodeString(&DeviceName, NT_DEVICE_NAME); //注意\\Device\\为特定字串
RtlInitUnicodeString(&SymbolicLinkName, DOS_DEVICE_NAME); //注意\\DosDevices\\为特定字串
//生成设备
ntStatus = IoCreateDevice(pDriverObject, //本驱动的驱动对象,这个指针是系统提供,从DriverEntry传入。
0, //设备扩展
&DeviceName, //设备名称
FILE_DEVICE_UNKNOWN, //设备类型
0, //设备特征,一般为0
FALSE, //是否排斥,一般为FALSE
&pDeviceObject);

if (!NT_SUCCESS(ntStatus))
{
KdPrint(("IoCreateDevice failed\n"));
return ntStatus;
}

//生成符号链接名,符号链接名主要作用是和win32通信
ntStatus = IoCreateSymbolicLink(&SymbolicLinkName, &DeviceName);
if (!NT_SUCCESS(ntStatus))
{
KdPrint(("IoCreateSymbolicLink failed\n"));
return ntStatus;
}

pDriverObject->MajorFunction[IRP_MJ_CREATE] = DispatchCreate;
pDriverObject->MajorFunction[IRP_MJ_CLOSE] = DispatchClose;
pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchDeviceControl;
pDriverObject->DriverUnload = Unload;

//保存系统中真正的函数地址,注意*(PULONG)((PUCHAR)ZwOpenProcess + 1)乃是取得函数ID号,还不是函数地址
Real_ZwOpenProcess = (pZwOpenProcess)(KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)ZwOpenProcess + 1)]);
__asm
{
push eax;
cli; //禁止中断
mov eax, cr0;
and eax, not 10000H; //去除内存保护 ,才能写内存
mov cr0, eax;
pop eax;
}

//hook SSDT里的函数地址
KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)ZwOpenProcess + 1)] = (ULONG)HookZwOpenProcess;

__asm
{
push eax;
mov eax, cr0;
or eax, 10000H;
mov cr0, eax; //恢复内存保护,只读内存
sti;
pop eax;
}

return STATUS_SUCCESS; //此处正常返回,而后5秒左右就崩溃了。
}
只看TA 引用 举报 #2得分 0
更多帖子
私信 空间 博客
bluewanderer
等级
本版专家分:10193
给你的所有函数断点,并且现在栈溢出的可能性比较大或者你用了更花的逻辑
只看TA 引用 举报 #3得分 0
更多帖子
私信 空间 博客
VirtualRookit
等级
本版专家分:69
在系统崩溃前,只调用到我驱动里的以下函数。
NTSTATUS
HookZwOpenProcess (
   __out PHANDLE  ProcessHandle,
   __in ACCESS_MASK  DesiredAccess,
   __in POBJECT_ATTRIBUTES  ObjectAttributes,
   __in_opt PCLIENT_ID  ClientId
   )
{
NTSTATUS ntStatus = STATUS_SUCCESS;
if ((ULONG)ClientId->UniqueProcess == PID)
{
KdPrint(("Protect Process !\n"));
return STATUS_ACCESS_DENIED; //访问者所请求的操作,不具备必要权限。
}
ntStatus = ZwOpenProcess(ProcessHandle, 
DesiredAccess, 
ObjectAttributes, 
ClientId);

return ntStatus;
}
只看TA 引用 举报 #4得分 0
更多帖子
私信 空间 博客
bluewanderer
等级
本版专家分:10193
直观来说... 你这么写的结果是一个递归死循环...
只看TA 引用 举报 #5得分 10
更多帖子
私信 空间 博客
一曲肝肠断
等级
本版专家分:574
引用 5 楼 bluewanderer 的回复:
直观来说... 你这么写的结果是一个递归死循环...

恩,很有可能,你hook的时候,把原来函数指针保存下,在你的函数中在调用原来的函数。
直接ZwOpenProcess可能会造成无限递归死循环
只看TA 引用 举报 #6得分 10
更多帖子
私信 空间 博客
VirtualRookit
等级
本版专家分:69
bluewanderer,你好,你说得对,我仔细看了下,的确如你所说,我太粗心了,谢谢。
return STATUS_ACCESS_DENIED; //访问者所请求的操作,不具备必要权限。
}
ntStatus = ZwOpenProcess(ProcessHandle,  //就错在此处,应为ntStatus = Real_zwOpenProcess()...
DesiredAccess,  
ObjectAttributes,  
ClientId);

return ntStatus
只看TA 引用 举报 #7得分 0
收起
收藏 回复
VirtualRookit

等级:

关注 私信 TA的帖子
windbg 双机调试配置(xp)系统

WinDbg软件 方法/步骤 1 打开虚拟机软件 2 打开我们要设置的虚拟xp系统 3 编辑虚拟机设置 ...

windbg调试虚拟机XP系统

一、先介绍一下被调试的虚拟机系统环境: 虚拟机:vmware workstation 10.0版本 虚拟机操作系统: Microsoft windows xp professional 2002 service pack3 cpu:2.8GHz,2.64GB内存 二、这个没有直接关系。做个笔记...

Windbg双机内核调试-win10+xp(附win10+win7)

Windbg双机内核调试-win10+xp(附win10+win7) 实验要求 配置一个Windbg双机内核调试环境,查阅Windbg的文档,了解以下内容: (1)Windbg如何在内核调试情况下看物理内存,也就是通过物理地址访问内存。 (2)如何...

windbg到pdb文件_windbg为什么到符号文件

*** STOP:0x0000007E(0xc0000005,0xF9E67483,0xF901082c,0xF9010528)微软对0x0000007E解释的原因有这几种:(重新做系統最好了)• 如果在 Windows 安装过程中第一次重新启动后或在安装完成后出现此问题,则可能是...

在windows 7用WinDBG调试时显示KdPrint信息

////////////////////////////////////////////////////////////////////--以下 实测--////////////////////////////////////////////////////////////////////// 在注册表 HKEY_LOCAL_MACHINE\SYSTEM\...

windbg调试虚拟机win7系统

调试机:win10 1809 虚拟机: win7 windbg属性设置,在目标后面加上紫色字体参数: "D:\Program Files\Debugging Tools for Windows (x64)\windbg.exe" -b -k com:port=\\.\pipe\com_1,baud=115200,pipe 或者在cmd...

windbg 调试关机_本地内核调试环境搭建,就这么简单!

前言 内核调试默认是关闭的,需要手动开启。本文将简单介绍如何在 Vista 及后续...本地内核调试 windbg 不仅可以作为用户态调试器使用,还可以作为内核调试器使用。相较于命令行版本的 kd.exe,windbg 更友好。在 wi...

Windows驱动程序Windbg调试方法[2]

1. 导言 这里主要记录的是以下操作系统配置双机调试的方法。 WindowsXP X86 Windows7的X86和X64 Windows10的X86和X64 ...由于Win7与Win10配置双机调试方法不管机器位数都是一样的,所以这里只选择记录Win7的 2

WindbgPreview虚拟机双机内核调试

#Windbg虚拟机双机内核调试 做内核调试时,我们经常使用到windbg的虚拟机双机调试,所以这里记录一下配置双机调试的过程,方便查询。另外,微软提供了一个windbgpreview 工具,算是windbg的升级版本,ui更好看了,...

windbg+winXP或win7 双机调试配置

附:windbg下载路径: https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/debugger-download-tools 方法一:virtualKD软件配置(通信速率很好,推荐): 下载链接: sysprogs....

windbg+网线双机调试windows内核驱动

最近要调试bluetooth,涉及到具体硬件因此能用虚拟机和命名管道调试内核了,另外现在的PC追求轻便化,因此连串口都没了,不得考虑使用网线调试。网上转了一圈发现了这篇:基于网络的内核调试 驱动调试需要用到...

WinDbg本地调试操作系统内核

本地调试操作系统内核: 1、开启操作系统调试选项  XP电脑:找到boot....2、重启电脑(XP需要选择调试版本,Vista以上版本需要),如图:    打开WinDbg,先设置symbol file path:本地路径;srv*本地路径...

VirtualKD加速windbg双机调试速度

我觉得不是很妥当,毕竟双机调试是OS自己实现的,依赖VirtualKD,所以就改成了这个标题。不过出于对作者的尊重,正文中我还是会使用他的标题。不过,不得佩服作者的文笔真的不错,写的很清晰。 VirtualKD +...

Xp+WinDBG+VMware调试内核

其实说的还是如何使用WinDBG和VMware来搭建调试内核的环境而已,这些网上已经有数清的教程了,不过我喜欢自己亲手写一下。第一,把这个过程写一遍能加深印象,就算以后忘记了也可以有笔记查找,快速想起来。第二、...

windbg+网线双机调试内核

最近要调试bluetooth,涉及到具体硬件因此能用虚拟机和命名管道调试内核了,另外现在的PC追求轻便化,因此连串口都没了,不得考虑使用网线调试。网上转了一圈发现了这篇:基于网络的内核调试 驱动调试需要用到...

windbg双机调试配置采坑

按照网上其他教程配置完毕,重启虚拟机,打开windbg一直显示下图连接上 打开虚拟机看下配置,是否串行端口多了个 2,如果是的话,先删除“串行端口2”,再删除 printer,然后重新进行连接即可。 ...

1394 windbg双机调试XP/WIN7

利用1394和PCMCIA卡,使两台机器互联;然后通过适当的配置就可以进行双机调试了~~ 以前写了利用虚拟串口,用vmware双机调试的记录: http://hi.baidu.com/316526334/blog/item/4d249ca348e1dda7cbefd0d1.html ...

windows内核驱动之环境搭建-双机调试 wdk7600+win7/xp+windbg

虚拟机环境:win7或者xpsp3(都是ghost,安装得时候注意将下图中CD/DVD高级设置中虚拟设备节点选IDE,见图1)。 图1 CD/DVD高级设置中虚拟设备节点选择 装虚拟机得过程就赘述了,网上有很多资料。 ...

windbg调试驱动学习总结

简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一.驱动编写 随着对windows系统的深入研究,越来越多的内核方面的知识被挖掘出来了,今天我们讨论下如何写一个 简单的驱动,并使用...

xp+WinDBG+VMware调试内核

其实说的还是如何使用WinDBG和VMware来搭建调试内核的环境而已,这些网上已经有数清的教程了,不过我喜欢自己亲手写一下。第一,把这个过程写一遍能加深印象,就算以后忘记了也可以有笔记查找,快速想起来。第二、...

vm和windbg双机调试无法连接的问题

 先说解决方案要点:(注意红色的字) 自然是虚拟机上的系统设置好串口设备,如下图。 ...设置客户系统的启动配置文件...multi(0)disk(0)rdisk(0)partition(1)WINDOWS="Microsoft Windows XP Professional D

Windbg+VMware双机调试/1394/串口/常见问题处理+下载符号文件离线包

1. 调试工具VisualDDK: 2. Vista以下的版本系统设置: 3. Vista以上的版本系统设置: 4. 1394火线调试 5. 使用串口线双机调试 6.调试过程中出现的问题及解决方案 7. 快速下载符号文件离线包 1. 调试工具...

Vmware进行Windows系统内核调试WinDbgWinDbg Preview)

https://www.microsoft.com/zh-cn/p/windbg-preview/9pgjgd53tn86?rtc=1&activetab=pivot:regionofsystemrequirementstab .sympath F:\symbol 参考:https://blog.51cto.com/14317856/2410156 ...

WINDBG调试内核以及驱动的基本步骤和要点(包括双机调试,虚拟机调试,virtualbox加速调试)

由于SOFTICE停止更新,现在最好用用的当然是微软自己的内核调试工具WINDBGWINDBG既可以调试应用程序,也可以调试内核程序,并且支持源代码调试。 下面大略介绍一下用WINDBG对内核以及驱动进行调试的环境的搭建...

双机调试windbg的命令

各位大牛以及和我一样还是菜鸟的朋友们,大家好,今天在调试驱动程序时,由于要做双机调试,所以顺便再论坛发给以后需要的朋友,相对网上其他教程我的这个 算是比较详细了,因为我是看了网上很多相关文章,他们多...

ida借助windbg 双机调试内核

windbg双机调试的话,因为是命令行类似于以编程来代替手工跟踪的方式。习惯了用OD+ida分析的,肯定会适应,于是就有ida的调试方式可以代替它,我使用的是ida 5.5,可能有一些区别,希望碰到问题的朋友能够一起...

MAC OSX系统下利用VMware Fusion双虚拟机使用Windbg调试windows驱动

Windbg调试所需软件 ### 环境 在虚拟机里面安装XP等Windows系统镜像。(安装教程赘述) 使用VMware的克隆功能 或 链接克隆功能 或 再次安装另一个Windows系统。 在主虚拟机(用来调试另一台虚

七夕情人节表白HTML源码(两款)

七夕节、情人节表白用的HTML源码(两款)

Spring Boot实战入门篇视频课程

通过大量的实战编码进行讲解,课程以Hello world为切入点。 第一章:对spring boot的特性、优缺点、场景进行详细讲解。 第二章:springboot核心功能 第三章:热部署的几种模式 第四章:Web开发的各种技术 第五章:数据访问层:spring data jpa、jdbctemplate、mybatis、redis 第六章:异常相关的处理 课程以实战为主,理论为辅相结合,学习完成后能实际参与spring boot的项目开发为目的。

jd_seckill京东抢茅台插件最新版【京东飞天茅台1499抢购】Python脚本的完整安装+使用教程

jd_seckill京东抢茅台插件最新版【京东飞天茅台1499抢购】Python脚本的完整安装+使用教程,这个很好用,稳定出单!

相关热词 c#dll vb 调用 c# outlook c#修改表数据 c# 子窗体值返给父窗体 c# label 格式化 c# 程序如何控制摄像头 c# 获取运行时间 c#知识点结构图 微软c# c#解析owl