windbg 基本知识

最新推荐文章于 2022-03-12 14:26:21 发布
最新推荐文章于 2022-03-12 14:26:21 发布
阅读量384 收藏 3
点赞数
分类专栏: windbg 文章标签: windbg lm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CAir2/article/details/92796062
版权

学习文档:https://download.csdn.net/download/cair2/11248352

 1. 元命令:以.开头的命令。eg:.reload
 2. 扩展命令:以!开头的命令。eg:!lmi

进程线程限定符

在这里插入图片描述

观察模块信息

lm
 1. m:指定模块名的过滤模式。eg:lm m k* 以k开头的模块
 2. M:指定模块路径的过滤模式
 3. o:只显示加载的模块
 4. l:只显示已经加载符号的模块
 5. e:死按时有符号问题的模块

在这里插入图片描述
在这里插入图片描述

分析符号

x [Options] 模块名!符号名

 1. /a or /A 按照地址升序或者降序
 2. /n or /N 按照名称升序或者降序
 3. /z or /Z 按照符号大小升序或者降序
 4. /t 显示符号或者数据类型
 5. /v 显示符号类型(local,global,parameter,function,unknown)和大小
 6. /s<符号大小> 按大小设置过滤条件。函数类符号大小是在内存中占的带下,其他符号是数据类型的大小。
 7. /p 控制显示格式

eg:查看ntdll模块所有dbg开头的符号(包括函数和变量)
x ntdll!dbg*

在这里插入图片描述

CAir2
关注
专栏目录
使用Windbg分析dump文件的一般步骤及要点详解
dvlinker的技术专栏
05-25 4万+
通过一个问题实例详细讲解使用Windbg静态分析dump文件的完整过程。
Windbg调试去掉无用输出
feixi7358的博客
03-08 1579
windbg中输入 0: kd> ed nt!Kd_SXS_Mask 0 0: kd> ed nt!Kd_FUSION_Mask 0
windbg10.0调试工具32位/64位版本下载
08-01
inDbg是在windows平台下,强大的用户态和内核态调试工具。它能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。
WinDbg知多少
狂奔之林的博客
07-11 217
转载:https://www.jianshu.com/p/57f0ab8702b5 作者:圣杰 下载winsdksetup.exe ,双击,选择Debugging Tools for Windows安装。 64位系统抓64位进程dump,用64位windbg来分析。64位系统抓32位进程dump,用32位windbg来分析 用VS命令行执行where sos.dll 找到sos.dll路径 SOS does not support the current target architecture 这个
Windbg过滤驱动DriverEntry函数下断点技巧 【zt】
namelcx的专栏
11-16 1372
Windbg过滤驱动DriverEntry函数下断点技巧 方法1: 1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) 2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址 3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址 例子: 1> Loa
windbg .frame /c
huanongying131的博客
06-11 565
.frame /c FameNumber 1.代码例子: 2.windbg调试进程 4.帧栈 3.查看帧栈1 4.查看栈帧2 5.从中可以看出 .frame /c执行后 eip显示的是下一条指令的地址。 esp是切换栈帧时的值。 比如3中的栈帧1。eip是 call WindbgFrame!Frame0的下一...
Windbg过滤驱动DriverEntry函数下断点技巧
HTTP 404
03-31 1812
<br />方法1: <br />1> 先用DeviceTree.exe查看指定的过滤驱动的Load Address(加载地址) <br />2> 再用LordPE.EXE查看指定过滤驱动文件的入口点地址<br />3> 计算过滤驱动的DriverEntry函数内存地址 DriverEntry函数内存地址 = Load Address + 入口点地址<br />例子: <br />1> Load Address = 0xFAABF000 <br />2> 入口地址 = 0x3400 <br />3> Win
使用WinDbg和基本汇编器知识实时跟踪MySQL数据库SQL查询
04-04
本文将探讨如何利用WinDbg这一强大的Windows调试工具,结合基本的汇编语言知识,来实时追踪MySQL数据库中的SQL查询。 首先,汇编语言是计算机程序设计的底层语言,它直接对应于机器指令,对于理解CPU如何执行代码至...
Windbg ABC && Windbg基本命令 && Windbg详解
03-26
通过阅读《WinDBG用法详解.pdf》、《windbg abc.pdf》和《windbg基本命令.pdf》这三份文档,你将逐步掌握Windbg的基本操作和实战应用,从而提升你在调试领域的专业技能。这些知识不仅适用于软件开发者,对于系统管理...
Windbg.rar_windbg
07-15
1. **Windbg基本操作**:包括如何安装和启动Windbg,设置源代码路径,以及如何加载和调试目标进程或内核。 2. **调试器命令**:掌握如`kd>`, `g`, `k`, `!analyze -v`, `dv`, `dt`, `bp`, `bl`, `u`, `lma`等基本...
windbg中文文档.zip
07-11
1. **基本概念**:介绍Windbg的基础知识,如调试模式、调试器与目标进程的关系、内存模型、线程和进程等概念。 2. **安装与启动**:指导如何下载和安装Windbg,以及如何启动调试会话,包括附加到正在运行的进程或...
使用WinDBG执行代码片段
心造轩
03-28 1631
在C标准库里,有一个函数是time(),它可以获取自1970年1月1日0时起至今的秒数。由于偶然的原因,我需要这个时间值,但不是在程序里。找来找去,好像没有什么工具可以直接生成这个值。自己倒可以编几行代码来完成这个功能,但毕竟麻烦,有没有什么好的方法呢。这时,我想到了WinDBG。既然time()是C标准库的一个函数,那么我们应该可以在WinDBG里直接运行这个函数的代码,前提是C运行库已经加
DebugView打印信息追溯与过滤
chanchaw的专栏
06-22 5451
打开DebugView后有下图的打印,其中"Serviece Started!!! -end"是迅雷服务的打印信息 (可以到任务管理器的进程页面找到PID是4092的进程) 其他的打印信息类似处理 想要在DebugView中过滤掉当前系统打印的信息(防止和自己调试的输出信息一起打印,造成混乱) 可以使用DebugView的Filter功能,如下图所示:
【WIN】WinDBG 常用命令整理
此地无银
03-12 2545
windbg的命令整理
windbg 启动参数,常用命令
weixin_33860737的博客
06-11 323
windbg [ -server ServerOptions | -remote ClientOptions ]     [ -premote SmartClientOptions ] [-?] [-ee {masm|c++}]     [-clines lines] [-b] [-d] [-aExtension] [-e Event]     [-failinc] [-g] [-G] [-...
PEB标记反调试方法
weixin_30522095的博客
09-07 203
            PEB标记反调试方法 一丶PEB结构简介   PEB.简称进程环境快. 我们在讲DLL隐藏的时候已经说过了. 具体博客链接:https://www.cnblogs.com/iBinary/p/9601860.html 那么我们现在直接看下PEB结构体吧 [+0x000] InheritedAddressSpace : 0x0 [Type: unsigned ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值