-
Windows内核--如何抓取Kernel log?(3.1)
Kernel和Driver可以通过DbgPrint或DbgPrintEx打log.
KdPrint和KdPrintEx也是可行的,不过用法有差异。
MSDN: KdPrint is identical to the DbgPrint routine in code that is compiled for a debug configuration. This routine has no effect if compiled for a release configuration. Only kernel-mode drivers can call the KdPrint routine.
DbgPrint输出log
Windows内核并不会把Kernel log用UART输出,而是通过系统服务(int 2dh)的方式输出。
- DbgPrint --> vDbgPrintExWithPrefixInternal
- --> DebugPrint
- --> DebugService
注意,此处Service参数传入BREAKPOINT_PRINT, 表示输出log.
int 2dh 进入_KiDebugService例程.
之后在汇编代码里面周转了很久,最终根据BREAKPOINT_PRINT决定输出log.
DbgPrint的实现确实不走寻常路!
DbgView工具查看Kernel log
DebugView - Windows Sysinternals | Microsoft Learn
按官方的说法,DbgView不仅可以抓Userspace log, 也可以抓Kernel log.
DbgView抓Kernel log原理
- Load Dbgv.sys Driver
- Dbgv.sys hook DebugPrint函数,截获字符串
-
相关阅读:
image.paste()函数【将一张图片粘贴到另一张图片上】
PWMADC重要参数
c++多态
原汁多功能榨汁机触摸芯片-DLT8T02S-杰力科创
使用 KubeSkoop exporter 监测和定位容器网络抖动问题
spring复习03,注解配置管理bean
java毕业设计技术的装潢公司网站开发(附源码、数据库)
离线数仓搭架_01_数仓概念与项目框架说明
零钱兑换,凑零钱问题,从暴力递归到动态规划(java)
Java-集合框架
- 原文地址:https://blog.csdn.net/cxsjabcabc/article/details/127709724
