受信任的开发人员工具 有许多用于软件开发相关工作的实用程序可以用来以多种形式执行代码,以帮助开发、调试和逆向工程。 这些实用程序通常具有合法证书的签名,这些证书使它们可以在系统上执行,并通过可以有效地...
一次.net cpu爆高分析-windbg sos基本命令使用及分析思路
前几日接前方反馈,线上升级后,IIS CPU爆高,已影响用户使用体验,遂指导现场运维赶紧dump一份内存。笔者现将分析过程分享如下,欢迎讨论指教。windbg sos使用就不写了,网上已有大量教程。运...
Windows Hypervisor & 内核调试的几种常见/不常见方法
前 言 本文主要介绍了使用调试器对Windows操作系统的内核层和Hypervisor层进行双机调试的几种常见和不常见的方法。本文中使用的windbg调试器和其附带的实用调试工具都可以在wind...
挂物理&&修改页属性(Windbg)
在学页的属性之前,我们只知道在程序运行时有虚拟的4GB空间,程序内部的静态常量是不可修改的,诸如0地址这样的特殊地址是不可访问不可读不可写的。但是在了解物理页之后,我们才知道,没有什么不可能的事情。1...
JVM HSDB在后渗透中的利用
背景HSDB(Hotspot Debugger),是JDK自带的调试工具,可用于调试JVM 运行时数据。 最近在学习Beichen师傅《JVM核心对抗》PPT的时候,注意到提到了HSDB的一个玩法:利...
调试实战:记一次有教益的递归栈查看
一前言之前介绍了在windbg中如何查看非常深的调用栈 —— 使用kN命令指定栈帧数。kN虽好,但最多只能查看0xffff个栈帧。如果栈帧数量比0xffff还多,该如何查看呢?本文将介绍几种查看方法,...
SSCTF-pwn450 win kernel 漏洞分析 (三)
一 前言之前没有调试过内核的漏洞,以这道题目来入个门,发现其实除了一些内核结构体之外和用户态的分析也没有太大的区别,顺便在这里总结一种很方便的在内核态调试用户态程序的方法二 内核态和用户态调试丝滑转换...
Mac下的windows双机调试环境配置pd+vm
前言:对于驱动开发和windows内核来说必备双机调试,PC和win笔记本 配合vmware只需要一台被调试的虚拟机即可,而且网上教程繁多。 由于macos无法安装windbg所以需要准备两台虚拟机才...
写代码挂物理页
前面已经介绍了什么是物理页,同时也学会了如何通过windbg来修改物理页,使我们能够读和写高2G的内存和修改静态常量。但是在正常情况下,我们是不可能使用windbg去调试某个电脑系统内核,然后修改的,...
notepad++堆缓冲区溢出漏洞CVE-2023-40031分析与复现
漏洞概述Notepad++ 是一款知名的开源代码编辑器,运行系统为Windows,支持多种编程语言。近日,安全研究人员针对 Notepad++进行检查,发现了不少安全漏洞。其中评分为 7.8 分(CV...
Win10提示无法连接到Internet时的Cache解决方案
创建: 2023-06-23 19:41https://scz.617.cn/windows/202306231941.txtWin10右下角托盘区有时会出现一个小地球,提示"无法...
从程序尸体发现黑客入侵痕迹
使用windbg从powershell的dump文件提取命令记录,用于恶意行为分析译自:https://www.leeholmes.com/extracting-activity-history-fr...