参考文章:

http://wingbao.blogbus.com/logs/28757738.html

http://blog.sina.com.cn/s/blog_a3e571160101iois.html

------------------------------------------------------------------------------------------------------------

刚开始用Windbg,看到网上有人敲如下命令:

u ntdll!NtOpenProcess

我照敲之后得到如下错误:

Couldn't resolve error at 'ntdll!NtOpenProcess'

------------------------------------------------------------------------------

错误原因:

从参考文章中得知是因为ntdll.dll属于应用层,windbg在调试内核时没有加载应用层的符号表文件,

因此也就有了错误:Couldn't resolve error at 'ntdll!NtOpenProcess'

还有种可能的原因就是Windbg的符号表路径没有设置正确。

-----------------------------------------------------------------------------------------------------

解放方法:

知道了错误原因,解决就简单了,让Windbg调试应用层的程序,然后我们重新载人符号表即可。

首先在虚拟机中打开应用层程序,记事本程序notepad.exe,然后按如下步骤做即可:

kd> !process 0 0 notepad.exe     //  查看进程notepad.exe信息
PROCESS 81ff0020  SessionId: 0  Cid: 01c4    Peb: 7ffde000  ParentCid: 05dc
    DirBase: 04b002a0  ObjectTable: e1a68528  HandleCount:  44.
    Image: notepad.exe

kd> .process /p 81ff0020     // 讲调试进程切换为notepad.exe
Implicit process is now 81ff0020
.cache forcedecodeuser done
kd> .reload                           // 重新载人符号表
Connected to Windows XP 2600 x86 compatible target at (Sun Jun 28 19:49:44.283 2015 (UTC + 8:00)), ptr64 FALSE
DBGHELP: nt - public symbols  
         d:\winddk\symbols_ms\ntkrnlpa.pdb\D8AAE42A2C254CF0A6DECF483D44477A1\ntkrnlpa.pdb
Loading Kernel Symbols
...............................................................
..............................................................
Loading User Symbols
............................
Loading unloaded module list
....................
SYMSRV:  ntdll.dll from http://msdl.microsoft.com/download/symbols: 281828 bytes - copied         
DBGHELP: d:\winddk\symbols_ms\ntdll.dll\4D00F28096000\ntdll.dll - OK
DBGENG:  Partial symbol load found image d:\winddk\symbols_ms\ntdll.dll\4D00F28096000\ntdll.dll.
SYMSRV:  ntdll.pdb from http://msdl.microsoft.com/download/symbols: 333688 bytes - copied         
DBGHELP: ntdll - public symbols  
         d:\winddk\symbols_ms\ntdll.pdb\CEFC0863B1F84130A11E0F54180CD21A2\ntdll.pdb

kd> u ntdll!NtOpenProcess     //  再次执行我们的命令,这下正常了吧
ntdll!NtOpenProcess:
7c92d5fe b87a000000      mov     eax,7Ah
7c92d603 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d608 ff12            call    dword ptr [edx]
7c92d60a c21000          ret     10h
7c92d60d 90              nop
ntdll!NtOpenProcessToken:
7c92d60e b87b000000      mov     eax,7Bh
7c92d613 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d618 ff12            call    dword ptr [edx]

Couldn't resolve error at 'ntdll!NtOpenProcess'相关推荐

  1. Resolve error: unable to load resolver node src\main.js:1:1

    ✘ https://google.com/#q=import%2Fno-duplicates Resolve error: unable to load resolver "node&quo ...

  2. How to resolve error message CRM_PRODUCT_SALES-E016 during product download

    Created by Jerry Wang, last modified on Dec 18, 2014 该error message是在如下check FM里报出: 在line 66的table s ...

  3. How to resolve error message Malformed URI literal syntax

    在消费SAP Marketing Cloud API时,遇到如下错误: 解决方案是在发起http请求的头部添加content-type字段,类型为multipart/mixed: 要获取更多Jerry ...

  4. how to resolve error message java.lang.ClassNotFoundException: org.springframework

    Created by Wang, Jerry, last modified on Jul 23, 2016 solution: http://forum.spring.io/forum/spring- ...

  5. WinDbg下载符号文件

    文章目录 一.符号文件的用处 二.下载符号文件(微软官方符号服务器无法访问) 三.加载用户层的符号文件 参考资料 一.符号文件的用处 符号文件即PBD(Program Debug DataBase)文 ...

  6. ntdll.dll和ntoskrnl.exe中的NT*和ZW*函数区别

    以NtOpenProcess和ZwOpenProcess为例,结合Windbg的lkd调试来说明 1.Q:ntdll.dll中的Nt*和Zw*区别? lkd> u ntdll!zwopenpro ...

  7. “Error 1923 occurs when you try to update Adobe Acrobat DC or Acrobat Reader DC” 的解决办法

    在尝试更新或者安装Adobe Acrobat DC或Acrobat Reader DC时,可能会遇到一个错误:"Error 1923: Service Adobe Acrobat Updat ...

  8. 资料整理——Oracle数据库错误消息列表(Database Error Messages)

    问题: Oracle数据库中大概有多少条error message? 解答: 根据对Oracle官网资料(https://docs.oracle.com/cd/E11882_01/server.112 ...

  9. windbg基本简单步骤

    源码 #include <stdio.h> #include <string> typedef struct _st{ int a; int b; }ST; int fun(i ...

最新文章

  1. 我在 CMU 的八年博士生涯...........
  2. 递归 || 递归的相关实例练习
  3. linux线程一直在增加,在.net core中遇到的奇怪问题:内存与线程数一直增长
  4. IOS调用WCF提供的服务方法,但是方法的参数是WCF那边自定义的对象,这样有办法调用么,如果可以IOS应该怎么传参呢?请问有了解的么,...
  5. POJ - 1358 Housing Complexes(二分图最大匹配)
  6. 警惕 | 警惕,mybatis的size()方法竟然有坑!
  7. css布局-瀑布流的实现
  8. 使用jrtplib(RTP)传输H.264视频文件
  9. 文本去重算法:Minhash/Simhash/Klongsent
  10. 大物 磁场对载流导线的作用 中dl转化为dx
  11. 开发手机APP的一些心得体会
  12. 攻防世界-mfw-(详细操作)做题笔记
  13. collapsible data-collapsed Jquery-mobile动态设置
  14. 力扣--阿拉伯转数字
  15. 如何将安卓手机WiFI镜像投屏到电脑
  16. 如何实现GPRS 拨号上网?
  17. 一文讲解Linux内核中根文件系统挂载流程
  18. 证书透明度(Certificate Transparency)
  19. UnsupportedOperationException; ImmutableCollections.uoe
  20. vue整合videojs插件,播放RTMP,hls直播视频

热门文章

  1. 显著性检测评估指标及计算方法
  2. ICMAX告诉你除了BGA、SOP,还有那些主流的封装类型?
  3. excel乘法公式怎么输入_电气计算太慢?62套自动计算EXCEL表格,一键下载秒出结果...
  4. 2023最新微信ipad协议 834 附近人获取 CODE sessionId
  5. 人大金仓数据库添加FIND_IN_SET函数
  6. flutter niu_links使用
  7. MySQL删除空值语句_数据库语句sql 删除空记录
  8. 宇龙数控仿真安装后连接服务器失败解决方法
  9. 三边封制袋机程序 采用松下PLC和威纶通触摸屏 前后双伺服送料
  10. JAVA设计模式什么鬼(责任链)——作者:凸凹里歐