Windbg 32位版本和64位版本的选择

最新推荐文章于 2024-05-22 11:03:03 发布
最新推荐文章于 2024-05-22 11:03:03 发布
阅读量5.8k 收藏 2
点赞数 1
分类专栏: 逆向调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mergerly/article/details/8602008
版权

用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32位的工具和一系列64位的工具。这让人觉得和费解,因为在我们安装Microsoft Visual Studio的时候你根本不需要考虑32位还是64位。

一、了解调试的机器类型

如果你正使用windbg调试工具集(WinDbg, KD, CDB, or NTSD)中的一个,你必须得自己做出选择。为了选择合适的调试工具,你需要知道以下两点:

1. 你的调试主机的处理器类型。
2. 你的调试主机运行的是32位版本的windows还是64位版本的。
PS:运行调试器的计算机我们成为调试主机,被调试的计算机我们称为目标机。

二、选择相应的调试版本

调试主机运行32位版本的windows

1、如果你的调试主机运行的是32位版本的windows,使用32位的调试工具(不管此时被调试的目标机是 x86-based 还是 x64-based)。
x64-based调试主机运行64位的windows
2、如果你的调试主机使用x64-based的处理器,并且运行64位的windows,请参考如下规则:
•如果你在分析dump文件,你可以使用32位或者64位的调试工具集。(不管dump文件是用户态的还是内核态的,也不管这个dump文件是在 x86-based 还是 x64-based的平台上抓的。)
•如果你在进行实时内核调试,你可以使用32位或者64位的调试工具集(不管此时被调试的目标机是 x86-based 还是 x64-based)
•如果你在进行实时用户态调试,并且调试器也在同一台机器上,对于64位的代码和32位的 WOW64代码都需要使用64位的调试工具集。使用 .effmach命令设置调试器的模式。
•如果你在实时调试32位的用户态代码,但是这些代码运行在一个单独的目标机器上,使用32位的调试工具集。

总结:只有在实时用户态调试,并且调试器也在同一台64位机器上的情况下必须用64位的调试工具集!

如何分辨是x64的还是X86的:程序本身应该是x86还是x64的,应该预先就知道的,如果程序本身是x86的,在debugger break时出现了很多wow64cpu等类似的dll时,就表明它是在x64模式的,应该使用 !wow64exts.sw 切换模式。

三、x64切换机器类型

一般是用  !wow64exts 扩展切换机器类型。

!wow64exts.sw
Switches between x86 and native mode.
!wow64exts.k count
Dumps a combined 32-bit/64-bit stack trace. If count is specified, the command dumps the first count addresses in each stack trace.
!wow64exts.info
Dumps basic information about the PEB of the process, the TEB of the current thread, and thread local storage (TLS) slots used by WOW64.
!wow64exts.r address
Dumps context for the specified address. If address is not specified, the command dumps context for the processor.


在没有扩展的情况下,用内置命令 .effmach 
.effmach  (Effective Machine)
The .effmachcommand displays or changes the processor mode that the  debugger uses.
Syntax
.effmach [MachineType] 

.x86 Use an x86-based processor mode
.amd64 Use an x64-based processor mode
.ia64 Use an Itanium-based processor mode
.ebc Use an EFI byte code processor mode


The processor mode influences many debugger features: 
Which processor is used for stack tracing. 
Whether the process uses 32-bit or 64-bit pointers. 
Which processor's register set is active. 



mergerly
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
winDBG 32位64位版本
10-18
winDBG 32位64位版本
WinDbg配置和使用基础
07-22
用户可以根据自己的操作系统版本下载对应的安装包,例如 32-bit 或 64-bit 版本。安装完成后,WinDbg 就可以使用了。 3. 配置 WinDbg 配置 WinDbg 需要设置 Symbol 文件路径, Symbol 文件是调试信息的集合,用于...
32位/64位WINDOWS驱动之windbg双机调试
a756598009的博客
06-24 3584
windbg双机调试环境配置第一步关掉虚拟机如果有打印机请移除打印机(打印机会占用端口)添加-添加串行端口-完成选择使用命名的通道-名字为 \.\pipe\abc123(对应下面的COM1) -确定-在开启虚拟机在虚拟机命令行里面输入 msconfig 来到系统配置 -引导-第二个高级选项 -勾选调试-勾选调试窗口-选择COM1;-确认-重新启动-启动的时候选择下面的调试系统来到自己电脑系统搜索windbg
x86和x64区别
最新发布
qq_30531921的博客
05-22 1316
总的来说,x64架构相对于x86架构在性能、内存地址空间等方面有更大的优势,但在软件兼容性和驱动程序兼容性方面可能存在一些问题。在选择使用哪种架构时,需要根据具体的应用需求和硬件支持情况来决定。
使用64位任务管理器转储的32位.NET进程dump, WinDbg如何调试?
YangJi
07-30 258
代表的是:从http://msdl.microsoft.com/download/symbols下载通用符号到到本地的c:\localsymbols后备用,是一些通用的pdb文件。它的主要目的是用来创建32-bit环境, 为了让32位的应用程序可以不经过任何修改就运行在64-bit的系统上.将下载的soswow64.dll放到一个文件夹下,比如C:\DLL\soswow64.dll。后面的D:\MyProgram\Debug表示你代码的生成目录,也包含pdb文件。使用命令加载此dll。
32位/64位WINDOWS驱动之windbg分析ObReferenceObjectByHandle取回进程句柄的过程
a756598009的博客
07-16 585
windbg调试技巧逆向分析windbg访问断点dt查看结构指令windbg使用帮助参考 https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/commands.cls 清屏ba r4 地址 //对地址下4字节访问断点。
一句话总结Windbg 32位版本64位版本选择
weixin_34356310的博客
11-16 260
用惯了Vsiual Studio的兄弟们可能会因为先入为主的原因以为所有的调试器都应该像它那样,其实不然,当你安装Debugging Tools for Windows的时候,你将发现有两个系列的工具,一系列32位的工具和一系列64位的工具。这让人觉得和费解,因为在我们安装Microsoft Visual Studio的时候你根本不需要考虑32位还是64位。 如果你正使用windbg调试工具...
VC6.0在64位Windows7下调试的时候,再结束调试,程序无法退出
03-14
5. 使用第三方调试工具:例如OllyDbg或WinDbg,它们可能提供更好的兼容性和控制,特别是在处理这类问题时。 压缩包子文件的文件名暗示了可能包含的解决方案文件,可能是一个补丁或者说明文档,指导用户如何解决上述...
netext:WinDbg扩展,用于数据挖掘托管堆。 它还包括列出http请求,wcf服务,WIF令牌等的命令
05-24
确保打开适当的32位64位扩展名(32位转储需要winbg 32位和netext 32位) 有关详细的帮助,请运行:“ .browse!whelp” 运行:“ -tree”并按照说明进行操作 其余的将很直观 有关脚本,请参见和 在此处下载...
nasm 汇编编译器 最新版 含linux和windows版本)
08-08
- **编译汇编代码**:在命令行中输入`nasm -f obj hello.asm`(Windows)或`nasm -f elf32 hello.asm`(Linux 32位),生成目标文件,如`hello.obj`或`hello.o`。 - **链接目标文件**:使用链接器(如`link.exe` in ...
windbg中文版(含32位64位原版)
10-12
windows蓝屏分析工具,可以分析windows蓝屏后生成的后缀DMP的文件,软件中文免安装,还附带原版英文32和64位
Windbg 调试工具64位32位安装包
02-28
Windbg 调试工具64位和32官方安装包,文件解压后有两个安装文件,x6464位,x86是32位
Windbg调试工具32位64位两个版本下载
04-16
Windbg调试工具32位64位两个版本下载,为了方便大家学习,特此为大家提供下载。
Windbg蓝屏分析修复工具32位v6.12英文绿色免费版
07-25
Windbg是一款非常好用的经典windows系统蓝屏分析修复工具,可以通过对dmp文件的分析和定位,分析并解决蓝屏、程序崩溃(IE崩溃)等问题,需要此款工具的朋友们可以前来下载使用。 注意事项 符号表是WinDbg关键的“数据库”,如果没有它,WinDbg基本上就是个废物,无法分析出更多问题原因。所以使用WinDbg设置符号表,是必须要走的一步。 1、运行WinDbg软件,然后按【Ct
msdbg2.dll(为解决VS2005调试时出错:dll msdbg2.dll 未正确安装)
06-17
描述中提到,这个压缩包包含了不同架构(64位32位)以及不同版本(7.0、8.0、9.0)的msdbg2.dll文件,用户可以根据自己的系统环境和Visual Studio版本选择合适的文件进行安装。这说明msdbg2.dll可能是随着Visual ...
使用64位任务管理器转储的32位.NET进程dump,WinDbg如何调试
gaiyi09的博客
01-07 1030
高级调试,WinDbg
如何用windbg分析64位机上32位程序的dump文件
weixin_30654583的博客
12-07 250
将dump拖入到windbg中后,在command输入栏输入 .load wow64exts 回车 !sw 回车,就将windbg的dump,从64位模式切换到了32位模式,否则看到的call stack 对我们分析dump是没有帮助的。然后就可以使用其它的命令来分析了。比如:使用kb命令,查看所有线程的调用堆栈,找出出错的线程,~*kb,就是查看所有线程的调用堆栈。 转载于:http...
windbg 分析 32 位进程的 64 位转储文件
qq_39529180的博客
11-30 77
场景: x86 的项目在 x64 的 windows 机器上运行时出现未响应的情况,使用任务管理器创建该进程的转储文件 因为项目是 32 位的,所以使用 x86 的 windbg 来调试 dmp 文件,使用 kn 列出堆栈信息,出现了一些与项目代码无关的函数调用 后面研究发现,这个调用都是 wow64 模块处理 64 位 Windows 上的 32 位应用程序,所以无法识别堆栈,需要切换到该 ...
windbg 32位64位区别
05-31
Windbg是一种用于Windows操作系统的调试器,它有32位64位两个版本。主要的区别在于: 1. 支持的目标操作系统版本不同。Windbg 32位版本仅支持32位的Windows操作系统,而Windbg 64位版本则支持64位的Windows操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值