WinDbg Tricks

最新推荐文章于 2021-06-06 00:29:04 发布
最新推荐文章于 2021-06-06 00:29:04 发布
阅读量422 收藏
点赞数
分类专栏: 工具篇 文章标签: debug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CharlesGodX/article/details/109534898
版权

本文搜集了一些windbg常用的命令,方便自己查阅,老版本windbg现在已经集成在visual studio里面,新版本的直接在Microsoft Store里面可以搜到,不过新的windbg preview版本不是很稳定,不过UI挺友好的。下面的内容不定期补充,首先放一个官方对windbg命令介绍的地址

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/commands

符号

windbg里面下载微软符号都需要梯子,我是这样设置的

SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols 
srv*C:\symbols_folder*http://msdl.microsoft.com/download/symbols
SRV*c:\mysymbol* http://msdl.microsoft.com/download/symbols

如果符号没加载出来可以!sym noisy激活详细符号加载显示,然后再.reload重新加载看什么问题

断点

下面记录一些常用断点命令

  1. 硬件断点,最多下四个断点
ba e1 address
  1. 软件断点
bp address
  1. 条件断点

对寄存器进行监控,eax 等于0x41的时候断下

ba e1 address ".if @eax = 0x41  {} .else {gc}"

打印一些数据,当在address断下的时候可以打印函数名和rax寄存器里面的内容

bp address ".echo function name; dq rax; gc"

如果需要指定当前线程中对函数下断点,可以用下面的例子指定当前线程

ba e1 /t $thread xxx

进程操作

  1. !process 0 0显示进程列表
1: kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS ffff86851c08a300
    SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
    DirBase: 001ad002  ObjectTable: ffffc78ec3004b80  HandleCount: 2457.
    Image: System

PROCESS ffff86851c12e080
    SessionId: none  Cid: 00a0    Peb: 00000000  ParentCid: 0004
    DirBase: 02d72002  ObjectTable: ffffc78ec3007380  HandleCount:   0.
    Image: Registry

后面加xxx.exe可以指定进程

1: kd> !process 0 0 smss.exe
PROCESS ffff868520d36400
    SessionId: none  Cid: 01a4    Peb: 2238d4d000  ParentCid: 0004
    DirBase: 12a451002  ObjectTable: ffffc78ec3507480  HandleCount:  53.
    Image: smss.exe

也可以根据PID直接搜索

1: kd> !process 470 0
Searching for Process with Cid == 470
PROCESS ffff868523618340
    SessionId: 0  Cid: 0470    Peb: d294a3d000  ParentCid: 02bc
    DirBase: 1b824002  ObjectTable: ffffc78ec70f7b40  HandleCount: 657.
    Image: svchost.exe
  1. 如果windbg正在调试内核,可以直接修改当前process调试ring3的进程,.process命令指定要用作进程上下文的进程,直接使用.process可显示当前进程的EPROCESS,下面展示了一次切换进程上下文的例子,将0xffff86851c08a300切换为了ffff868520f77080,这样就可以直接调ring3的进程,不过需要重新g跑一下
1: kd> .process
Implicit process is now ffff8685`1c08a300
1: kd> .process /i /p ffff8685`20f77080
You need to continue execution (press 'g' <enter>) for the context
to be switched. When the debugger breaks in again, you will be in
the new process context.
1: kd> g
Break instruction exception - code 80000003 (first chance)
nt!DbgBreakPointWithStatus:
fffff805`0c27cb30 cc              int     3
0: kd> .process
Implicit process is now ffff8685`20f77080
...
  1. 可以通过!dml_proc命令直接查看所有进程,非常方便
1: kd> !dml_proc
Address           PID  Image file name
ffff8685`1c08a300 4    System         
ffff8685`1c12e080 a0   Registry       
ffff8685`20d36400 1a4  smss.exe       
...

查看句柄

可以通过!handle命令查看当前进程所有句柄,需要在内核调试器下才能看句柄信息

1: kd> !handle

PROCESS ffff868523618340
    SessionId: 0  Cid: 0470    Peb: d294a3d000  ParentCid: 02bc
    DirBase: 1b824002  ObjectTable: ffffc78ec70f7b40  HandleCount: 657.
    Image: svchost.exe

Handle table at ffffc78ec70f7b40 with 657 entries in use

0004: Object: ffff868521fda960  GrantedAccess: 001f0003 (Protected) (Inherit) Entry: ffffc78ec72a1010
Object: ffff868521fda960  Type: (ffff86851c0a87a0) Event
    ObjectHeader: ffff868521fda930 (new version)
        HandleCount: 1  PointerCount: 32767

0008: Object: ffff868521fda3e0  GrantedAccess: 001f0003 (Protected) (Inherit) Entry: ffffc78ec72a1020
Object: ffff868521fda3e0  Type: (ffff86851c0a87a0) Event
    ObjectHeader: ffff868521fda3b0 (new version)
        HandleCount: 1  PointerCount: 32718
...

加上/f选项即可查看句柄详细信息,此功能大多用在查看驱动设备名

1: kd> !handle 0xa0 /f

PROCESS ffff868523618340
    SessionId: 0  Cid: 0470    Peb: d294a3d000  ParentCid: 02bc
    DirBase: 1b824002  ObjectTable: ffffc78ec70f7b40  HandleCount: 657.
    Image: svchost.exe

Handle table at ffffc78ec70f7b40 with 657 entries in use

00a0: Object: ffff868523605b80  GrantedAccess: 00000804 (Protected) (Audit) Entry: ffffc78ec72a1280
Object: ffff868523605b80  Type: (ffff86851c1f56c0) EtwRegistration
    ObjectHeader: ffff868523605b50 (new version)
        HandleCount: 1  PointerCount: 1
Thunder_J
关注
专栏目录
Windbg使用详解
dvlinker的技术专栏
10-07 2万+
本文详细介绍了Windows调试工具Windbg的使用。
使用Windbg调试目标进程的一般步骤及要点详解
热门推荐
dvlinker的技术专栏
06-04 3万+
本文以一个具体的崩溃实例来详细讲述使用Windbg动态调试目标进程的一般步骤及相关要点。
miniWindbg 功能
weixin_33766168的博客
05-11 70
基本功能 1.通过直接方式打开 断OEP2.附加方式打开(遍历进程 通过 pid 附加)3.查看修改数据4.显示反汇编5.修改汇编6.修改寄存器7.查看当前栈 断点功能 1.软件断点2.内存断点3.硬件断点4.断点永久性5.show 显示所有断点信息6.单步步入7.单步步过 高级功能 1.条件断点2.隐藏 peb3.hook4.插件 其它功能 1.查看任意模块导入导出表2.解析符号3.源码调试4...
WinDBG 用法详解(一)
worthluyang的专栏
05-18 3805
      WinDBG 是个非常强大的调试器,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、调试转储文件、远程调试等等。WinDBG 具有非常大的灵活性和可扩展性,用来满足各种各样的调试需求,比如用户可以自由定义调试事件的处理方式,编写调试扩展模块来定制和补充WinDBG 的调试功能。      尽管WinDBG 是个典型的窗口程序,但是它的大多数调试功能还是以手工输入命
利用 WinDbg 对 dump文件分析
qq_39556138的博客
11-07 826
利用 WinDbg 对 dump文件分析步骤: (1)设置符号文件地址,这里设置为微软符号服务器地址 + 测试程序的pdb文件地址(zhu) "File" - "Source File Path" http://msdl.microsoft.com/download/symbols;C:\Users\20254\Documents\Visual Studio 2015\Projects\testDump\x64\Debug [1] 注:下载符号文件需要kx上网; (2)打开dump文件:"File
EZPlayer:基于AVPlayer封装的视频播放器,功能丰富,快速集成,可定制性强,支持react-native
02-05
EZPlayer 预览 本机 React本地 介绍 基于AVPlayer封装的视频播放器,功能丰富,快速集成,可定制性强。 要求 iOS 9.0以上 Xcode 12.0+ 迅捷5.0+ 特性 本地视频,网络视频播放(支持的格式请参考苹果AVPlayer文档) 安装 导出框架 执行项目中的ExportFramework脚本自动生成框架 创建一个Cartfile ,在这个文件中列出你想使用的框架 github "easyui/EZPlayer" 运行carthage update ,获取依赖到Carthage / Checkouts文件夹,逐个生成 在工程的target->常规选项下,拖拽Ca
萤石源码阅读
明潮的BLOG
08-14 2130
项目中现在使用的是EZOpenSDK_V4.8.3.20180530版本; 最新的版本是EZOpenSDK_V4.8.4.20180810。 官网地址 使用说明 API文档 1.EZOpenSDK 1.1.bean目录 注释的为萤石开放api package com.videogo.openapi.bean │ BaseInfo.java │ BaseInfoEx.java...
Windbg中文调试手册
04-26
**Windbg中文调试手册概述** Windbg是一款强大的调试器,主要用作分析故障转储、实时用户模式和内核模式代码的调试工具。它具备现代的界面设计,完善了脚本功能,支持可扩展的调试数据模型,以及内置的时程调试...
windbgwindbgwindbgwindbg
最新发布
04-16
Windbg,全称为Windows Debugger,是一款强大的调试工具,由微软公司提供,主要用于Windows系统的软件调试。它被广泛应用于系统崩溃分析、驱动程序调试、内存泄漏检测以及性能优化等多个领域。Windbg不仅支持本地...
Windbg介绍
u010607621的博客
06-15 1万+
1. 介绍 1.1. 相关网站 微软网站 社区网站 调试分享 1.2. 下载 对于Win10,推荐使用微软商店下载windbg preview版本。其它的os,可以下载windows sdk,在安装选项中选择windbg。 preview版本皆可调试32,64位进程和内核。传统版本分为32和64两个版本,但优势在小巧便携。 1.3. 符号配置 微软的动态库,exe等,微软一般会公开pdb文件的下载,windbg经过配置后,会自动下载,从而利于解析程序的数据结构。 简易的方法是配置环境变量_NT_SYMBOL
Android开发宇视监控播放,宇视科技视频监控(EZPlayer)
weixin_34641420的博客
06-04 1443
EZPlayer是宇视科技推出的监控设备套件。用于对本地录像进行播放。支持.ts、.mp4及SD卡视频格式播放、录像同步播放、水印检测、抓拍及剪辑。有需要的小伙伴欢迎来西西下载体验。软件简介:EZPlayer是一款视频播放器,用于对本地录像进行播放。支持.ts、.mp4及SD卡视频格式播放、录像同步播放、水印检测、抓拍及剪辑,可选择1/4/9/16分屏、设置进度条刻度等功能。文件信息:文件大小:3...
keil uvision4完整破解版下载
明潮的BLOG
08-12 2万+
http://download.csdn.net/download/wllgyqf/9257179#comment https://www.keil.com/download/product/
Mac下利用jad批量反编译class文件
明潮的BLOG
05-29 2281
将class文件夹拷贝到jad命令目录里,执行一下命令: ./jad -s java -d [java源文件存放位置]-o -ff -r **/*.class 其中,**/*.class,表示当前目录及其子目录下所有的class文件(包含所有的子目录); java源文件存放位置如果是当前目录下新建的src文件夹,则会在src目录下生成对应class的java源文件目录,命令如下: ./j...
dump 分析模式之 INCORRECT STACK TRACE
djm2005dy的专栏
02-13 4704
 ezplayer 00. 01. 02. ... 存档随机文章 订阅 私信 投稿 Dump 分析模式之 INCORRECT STACK TRACE dump 分析模式之 INCORRECT STACK TRACE 翻译自 MDA-Anthology Page
以前写过的文章----用windbg内核模式调试用户态程序
weixin_33913377的博客
03-22 370
今天非常激动。。终于解决了我调试驱动非常头痛的问题。。。。 在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。 链接如下: http://bbs.driverdevelop.com/htm_data/125/0901/115354.html 高端调试的文章转载 http://advdbg.org/blogs/advdbg_system/ar...
Debug文件夹是什么
weixin_33807284的博客
12-07 6587
debug是一个隐藏的对象,用于进行和调试相关的工作。是系统调试文件夹,用来存放系统运行过程中调试模块的日志文件,以便管理员根据这些日志文件来发现计算机所存在的问题。其中“UserMode”文件夹下存放的是当前用户的调试日志文件 有点类似于C#中的控制台。在调试程序的时候使用Debug会很方便。比如Debug.Print a会在VB界面下方的“立即”窗口中显示出a的值,这样就不必修改程序的界面来显...
【WP】[VNCTF 2021]Ez_game
車鈊的博客
06-06 630
[VNCTF 2021]Ez_game 打开为一个小游戏,查看调试器,发现了三个js文件,在game.js中发现如下的语句 function Update() { ++levelFrame; UpdateAudio(); // save data if (!speedRunMode) localStorage.kbap_coins = playerData.coins; // update speed run time
探究支付宝android客户端的动态加载
明潮的BLOG
04-28 801
在早期的支付宝android客户端中,也有插件化的功能。大概的做法就是,自定义所有的UI控件,再通过XML文件,仿安卓原生XML的布局文件来搭建布局,再通过自定义的表达式解析器,利用JAVA的反射特性来给具体的控件添加不同的功能。这样也达到了插件化。 之前写过一篇文章,说的是支付宝的插件化。其实这篇文章很老了,现在的支付宝早已不是这种做法。最近几天忙里偷闲,反编译了一下支付宝的插件化。 在下资历...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值