Ay's Blog@CNSSUESTC

My Links

News

暫時把這個作為主博客吧~ 百度博客系統太封閉了

隨筆分類(32)

隨筆檔案(43)

相冊

pic for blog

搜索

閱讀排行榜

評論排行榜

誰動了我的指針?--記一次windbg內存斷點的使用

寫驅動的時候有個地方老是藍屏,看了dump發現數據被非法篡改了.

數據初始化如下

if(record_set_ptr != NULL )
{
    record_set_ptr->look_aside_pool_ptr = g_user_control_context.look_aside_pools[type] ;
    record_set_ptr->type = type ;
    record_set_ptr->buffer_size = notify_count * unit_size_of ;
    record_set_ptr->units_count = notify_count ;
    record_set_ptr->complete_count = 0 ;
}

然后在調用ExFreeToNPagedLookasideList傳入record_set_ptr->look_aside_pool_ptr 的時候掛了,發現record_set_ptr->look_aside_pool_ptr已經被改了.

為了跟蹤數據在哪里被修改了,先在數據初始化的地方下斷,然后記下record_set_ptr->look_aside_pool_ptr 的地址:0x85c16018

對這個內存下個斷點

1: kd> ba w4 85c16018

w表示在寫入時斷下,4表示監控范圍,單位是字節

整個命令的意思就是讓調試器在系統寫入內存85c16018-85c1601b這個地址范圍的時候中斷

OK,命令下完,F5一下就立馬斷下來了

1: kd> g
Breakpoint 3 hit
nt!memcpy+0x33:
8053b583 f3a5 rep movs dword ptr es:[edi],dword ptr [esi]

此時edi的值: 0x85c16018

最后看一下函數堆棧,發現是字符串拷貝越界覆蓋了后面的數據....

后面又想到,出錯時record_set_ptr->look_aside_pool_ptr 的值是0x005c0065

這么明顯的字符串特征竟然沒意識到....一看出錯值就應該知道是字符串覆蓋造成的.....

posted on 2012-01-03 15:07 __ay 閱讀(3899) 評論(3) 編輯收藏引用所屬分類: Debugging

Feedback

# re: 誰動了我的指針?--記一次windbg內存斷點的使用 2012-01-05 09:33 zuhd

和樓主分享一下：
一般遇到這種需要下內存斷點的調試，我可能會先檢查代碼，應該會有90%的概率是越界造成的，確定該內存是在堆還是棧，然后排查該變量上下的兩個變量，基本都能找到，呵呵。請問樓主是UESTC的嗎？回復更多評論

# re: 誰動了我的指針?--記一次windbg內存斷點的使用 2012-01-05 13:30 __ay

呵呵你也是UESTC的?不過我已經畢業了
當然如果越界的時候能直接引發崩潰,那么看代碼直接就能解決問題
但是在越界讀寫不引發crash,直到引用被覆蓋的數據的時候才崩潰,如果這個時候代碼中很難定位到被覆蓋數據是什么時候寫的,那應該用內存斷點會比較好了@zuhd
回復更多評論

# re: 誰動了我的指針?--記一次windbg內存斷點的使用 2012-01-05 14:24 dourgulf

好經驗分享，不錯回復更多評論

刷新評論列表

只有注冊用戶登錄后才能發表評論。


相關文章: 讓xp加載指定的內核版本--別以為xp加載的內核總是來自于ntoskrnl.exe!!! WINDBG的堆調試—full page heap的堆破壞檢測原理誰動了我的指針?--記一次windbg內存斷點的使用 WINDBG的堆調試--了解HEAP組織

網站導航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品