0x00 引言
Windows内核开发所用到的工具。
0x01 系统自带工具
1 | 1 任务管理器 |
1、任务管理器
任务栏右键-任务管理器,能够查询到所有进程的信息。
任务管理器-详细信息,可添加每个进程的句柄查询列。
2、事件查看器
右键开始菜单-事件查看器-Windows日志-应用程序可以查看到崩溃日志。
3、资源监视器
任务管理器-性能-打开资源管理器-CPU,可以查看有哪些句柄与打开它的进程之间的关联信息。
0x02 Sysinternals
Winternals公司提供的免费工具。
1 | 1 procmon |
1、procmon
能够捕获到所有进程的文件打开、网络连接、注册表等事件。
2、procexp
能够捕获到所有进程的cpu占用、线程cpu占用、文件符占用等信息。
3、dbgview
能够捕获到日志打印,比如使用OutputDebugString函数,或者是Qt的qDebug。
4、autoruns
能够查看自启动项
5、运行
通过”运行”进程,我们可以立刻打开某个功能
1 | mstsc - rdp连接窗口 |
0x03 WinDbg
Windbg是在windows平台下,强大的用户态和内核态调试工具。它的另外一个用途是可以用来分析dump数据。
Windbg在分析dump数据的时候,前提是必须要有.PDB文件。当同时有.PDB文件和源码时,可以使用Visual Studio进行查看。
0x04 DEPENX
用于查看动态库的符号详情
0x05 WireShark
用于抓包
0x10 常见问题
1.如何根据网络连接的端口号查看对应进程?
1 | $ netstat -o # 查找对应端口号的进程PID |