46.windbg-条件断点(windbg script)

最新推荐文章于 2023-06-15 16:44:58 发布
最新推荐文章于 2023-06-15 16:44:58 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: windbg 学习过程中
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/9000994
版权

使用j命令的条件断点的基本语法如下:

0:000>  bp  Address  "j ( Condition ) ' OptionalCommands '; 'gc' "

使用.if命令的条件断点的基本语法如下:

0:000>  bp  Address  ".if ( Condition ) { OptionalCommands } .else {gc}"

其实结合起来看就是双引号括起来了判断条件语句


可以通过windbg搜索conditinal breakpoints查到相关示例


要注意的是,一旦使用别名:

1.必须使用.block{}把使用别名的包含在里面

2.必须在使用别名前,先用ad命令把别名删除掉


0:000> as /mu $ustr poi(@esp+4)
0:000> al
  Alias            Value  
 -------          ------- 
 $str             C:\Windows\system32\shell32.dll 
 $ustr            imm32.dll 
0:000> ad*
0:000> al
No aliases
0:000> as /mu $ustr poi(@esp+4)
0:000> al
  Alias            Value  
 -------          ------- 
 $ustr            imm32.dll 
0:000> ? $spat(@"$ustr", @"*mm32.dll")
Evaluate expression: 1 = 00000001
0:000> ad /q $ustr
0:000> al
No aliases

综合起来 

0:000> ad*
0:000> bc*
0:000> bu Kernel32!LoadLibraryW"aS /mu $ustr poi(@esp+0x4);.block{r @$t0=$spat(@\"$ustr\", @\"*32.dll\");.if(0==@$t0){gc;}}"
0:000> g
eax=00000001 ebx=00000001 ecx=76b36833 edx=773c7094 esi=76b367cf edi=00000000
eip=7687ef42 esp=00aff2ec ebp=00aff30c iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000202
kernel32!LoadLibraryW:
7687ef42 8bff            mov     edi,edi
0:000> al
  Alias            Value  
 -------          ------- 
 $ustr            imm32.dll 
0:000> ad*
0:000> g
这里要注意的是不要在.if中加ad*,不然下次就断到未知名的地方了,具体原因不清楚! 

0:000> al
  Alias            Value  
 -------          ------- 
 $ustr            advapi32.dll 
0:000> ad*
0:000> g
0:000> al
  Alias            Value  
 -------          ------- 
 $ustr            C:\Windows\system32\ole32.dll 
0:000> ad*
0:000> g
去掉.block试下: 

0:000> bu Kernel32!LoadLibraryW"aS /mu $ustr poi(@esp+0x4);r @$t0=$spat(@\"$ustr\", @\"*32.dll\");.if(0==@$t0){gc;}"
0:000> BL
 0 e 7687ef42     0001 (0001)  0:**** kernel32!LoadLibraryW "aS /mu $ustr poi(@esp+0x4);r @$t0=$spat(@\"$ustr\", @\"*32.dll\");.if(0==@$t0){gc;}"
0:000> G

直接跑完了,一个都没断下来



花熊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg调试工具windbg-10.0.18.zip
10-24
windbg是Windows平台强大的软件调试利器,可以分析各种软件异常问题。 本压缩包是10.0版本的。
[x64dbg] 实战01 - 参数打印/修改参数内容(条件断点、命令、脚本)
kinghzking的专栏
01-13 6914
文章目录导读参数打印/修改参数 - 界面方式参数打印 - 日志参数(红色)修改参数 - 命令参数(绿色)参数打印/修改参数 - 脚本方式参考资料 导读 x64dbg是小编目前用的最多的windows调试器了,可以说是不得不用,因为64位调试器,也就它好用了,以前的神器OD没有更新,出现的各种问题,让人头痛不已,弃之。 另外x64dbg也的确有很多优点: 开源!!! 更新频率高,兼容最新操作系统 各种操作页面(内存、符号、线程、源码……) 支持插件、命令、脚本(Python) x64dbg的资料不多,使用
在 x64dbg 中设置条件断点条件记录断点
CuiXY's Blog
07-16 8806
地址:https://bbs.pediy.com/thread-251385.htm
5min学会WinDBG条件断点
systomnet的专栏
04-22 632
1.前言 很多时候我们可以使用Spy++查看某个窗口的消息,但是有一定的局限性。 以编辑控件为例,我们打开Spy++截获应用程序的EM_GETTEXTRANGE消息,却只能看到TEXTRANGE结构的指针值,看不到结构的内容。 如果想要详细查看消息的WPARAM和LPARAM参数,Spy++是无能为力的。 但是可以通过W...
windbg设置条件断点
lixiangminghate的专栏
07-28 6113
一直以为windbg的bp断点只是简单的在某个地址上下断点,后来才发现bp断点功能很强大:除了可以设置条件断点还是windbg脚本的基础.     使用方法很简单:bp address ".if(condition){};.else{}" 具体例子形如:bp `4dbg.cpp:18` ".if(hFile>=0){};.else{gc;}"这里是对源文件中某一行下条件断点,如果句柄值大于等于0
windbg 脚本学习总结
bcbobo21cn的专栏
06-17 1049
windbg 脚本简单入门 http://blog.csdn.net/superliuxing/article/details/19206985 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,应用程序调试,远程调试,dump分析等于一身,真是杀人灭口必备利器。但是也由于其太过
windbg-order.rar_windbg
09-20
windbg的常用命令,是我在学习时做的笔记,初学者适用!
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
windbg-info:与使用和改进windbg相关的链接的集合
05-12
windbg信息 该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列表中。 WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析...
WinDbg(x86).zip_windbg_断点续传
09-21
支持多线程断点续传,支持自定义线程数量,支持传输速度
加密与解密 调试篇 动态调试技术 (五)-WinDbg
最新发布
m0_64180167的博客
06-15 694
自定义别名的命令有3个as ad alas为内存中的字符串定义别名ad 删除别名 ad Name ad *al 列出别名as /选项 别名名称 别名实体选项的选择/ma ASCII/e 指定的环境变量/f 指定文件的内容。
X64dbg使用技巧
aketoshknight的博客
06-08 4830
X64dbg使用技巧 前言:各类杂项x64dbg的使用技巧 示例1:进出call
windbg 脚本简单入门
superliuxing的专栏
02-14 7339
标 题: 【原创】windbg 脚本简单入门 作 者: evileagle 时 间: 2013-10-31,23:04:24 链 接: http://bbs.pediy.com/showthread.php?t=180879 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,
x64Dbg基础知识
若风
01-09 2111
bp和sp 先来一张图 结论 ebp(bp) base point -> 栈底 esp(sp) stack point -> 栈顶
Windbg 字符串条件断点
CuiXY's Blog
10-01 267
0x01 前言 Windbg 作为 Windows 下的主流调试器,除了人机交互相比其他调试器略有不足外,其他功能都是十分强大的存在。 在所有的调试器中断点功能都是必不可少的,Windbg 可以使用 bp 等命令很方便的对地址和符号下断点,这些都是非常常用的,但是对字符下断点,尤其是 unicode 字符下断点则用的比较少,但是用的好确实能解决许多问题,比如需要记录和断下一些关键 API 的参数...
4.windbg script-常用操作
hgy413的专栏
06-28 1623
1.使用别名和删除别名 aS ${/v:ScriptName} hgy ad ${/v:ScriptName} 注意不要用as,因为在没有任何名令参数时,as是把;也算在别名内的,也就是直接把hgy;ad...后所有的当成了别名 可以用一个分号来结束aS命令。这在需要将所有命令放在单行中的脚本文件中有用。 如果使用了/e、/ma、/mu、/msa、/msu或/x开
WINDBG Script简易教程
FISH 的专栏
08-27 1513
 标 题: 【原创】WINDBG Script简易教程{看雪学院2006金秋读书季}作 者: 笨笨雄时 间: 2006-10-22,17:03链 接: http://bbs.pediy.com/showthread.php?t=33663【文章标题】: WINDBG Script简易教程【文章作者】: 笨笨雄【作者邮箱】: [email protected]【工具名称】: WINDBG【下载地
Windbg:如何给字符串下条件断点
weixin_30753873的博客
01-02 235
因为Windgb支持MASM语法,字符串的比较方法有$scmp和$sicmp。用法和c中的字符串比较方法一致。在需要比较字符串成员变量的时候,遇到了点问题。因为字符串成员变量无法直接获取字符串内容。poi指令是直接取地址。所以需要结合伪寄存器和别名进行封装。 伪寄存器语句如下: 1 r @$t0=@@(&this->_test._Bx._Buf) _...
OD 与X32 的条件记录断点的使用和对比
生命不息 折腾不止
05-11 1634
一、应用场景 我们在逆向分析的过程中,往往碰到一些需要打印内存数据的情况,特别是分析对象将数据写在代码里面的时候,少量有规律的数据可以通过条件记录断点来进行打印。 二、OD的条件记录断点断点后,右键选择条件断点,弹出条件记录的设置框框,相关选项如下: 条件:为空就行了 说明:不用填 表达式记录描述:dwo...
windbg -xe cpr 1.exe 这个命令行是什么意思
06-13
这个命令行是在使用Windbg调试器来运行名为1.exe的程序,并在程序运行过程中监视和记录CPU寄存器的内容。具体来说,-xe参数指定了要监视的内容,这里是cpr,表示要监视CPU的所有寄存器。1.exe是要运行的程序的名称。这个命令行的作用是在程序运行过程中记录CPU寄存器的变化,以帮助调试者检查程序的运行状态和诊断问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值