《格蠹汇编》-第1章笔记

最新推荐文章于 2021-09-09 13:02:20 发布
最新推荐文章于 2021-09-09 13:02:20 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 经验 格蠹汇编笔记 调试 汇编 文章标签: 笔记 格蠹汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FireBurn/article/details/8972217
版权

第一章 从堆里抢救丢失的博客


讲述内容:如何在内存中搜索数据

使用命令:
lm
列出进程使用的模块

~
列出该进程的所有线程

!heap
列出堆信息

!address
列出用户态空间所有区域
这个命令显示内容似乎随着版本不同有所变化,我所使用的6.2.9200显示的格式就与书中的不太一样。而且汇总功能需要加参数-summary。

s -u 10000 L8000000 "当年在交大"
s 搜索内存命令
-u  指定搜索类型为Unicode字符串
10000  搜索的起始地址,16进制。使用这个地址可能是因为在这个例子中,10000以前的地址都没有使用(free)。
L8000000  搜索的范围,16进制。需要注意的是它的单位是根据搜索的对象类型而变化,可以是字节、字、双字、四字。在本例中由于使用Unicode类型(似乎是使用UTF-16),长度为2个字节,所以实际范围是8000000x2=256MB。

ew 02c9ffcc
eb 001b5942-8 ff fe
e命令为内存编辑命令。
eb  按字节写入
001b5942-8  写入的起始地址。基地址+(-)偏移量
ff fe  写入的内容。如果忽略不写的话,WinDBG会启用交互式输入。(这个一试便知)

.writemem  c:\gedu\blog.txt    001b5942-8  L1458
把内存内容写入文件。
L1458 长度。以字节为单位。其实本例中精确长度为 1b6d82+e - 1b5942 + 8 = 1456。
FireBurn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5360
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
汇编-实验1
最新发布
weixin_70811025的博客
01-02 393
输入s -u 10000 L8000000 "当年在交大",s -u 用来搜索指定的Unicode字符串,s -a 用来搜索指定的ASCII字符串。.writemem D:\gedu\labs\blog\blog.txt 001b5942-8 L1458 将内存中的内容dump到文件中。我们通过eb指令向文件头添加Unicode标志 ff fe然后再dump到文件中。此时打开文件查看,可以看到是乱码,原因是因为没有unicode进行编码。dU 001b5942 以Unicode方式查看内存的内容。
汇编》-第5笔记
梵·烈火的专栏
06-05 1193
第五 拯救"发疯"的Windows7 讲述内容:一Win7进入桌面时提示“Windows must now restart because the Power service terminated unexpectedly”,随后强制重启。利用WER机制,分析系统转储文件,定位栈缓冲区溢出错误。 关键点: 1、WinRE 在高级启动菜单中选择Repair Your Sys
汇编-01-blog
06-02 211
实验资料:http://files.cnblogs.com/files/ONDragon/ieblog.zip      http://files.cnblogs.com/files/ONDragon/ieblog.z01.zip(注意修改这个文件名为ieblog.z01)这两个文件一起解压。 加载符号表   SRV*c:\mysymbol*http://msdl.micr...
[置顶]       读书笔记之《汇编-软件调试案例集锦》
weixin_34087301的博客
04-19 352
最近张银奎大侠出新书《汇编-软件调试案例集锦》 迫不及待买回来看了下,确实是好书,行如流水,看如小说,有慎怕一下看完了之想,学习之余写下读书笔记便于以后查询。 1.编辑博客时,编辑的内容在浏览器进程里,如果发表失败,网页上造成博文丢失,只要浏览器没有关闭可以从浏览器中来找回文。 ->附加浏览器进程s -u 0 L800000 "当年在交大"s是搜索 u...
汇编 第一 从堆里抢救丢失的博客
weixin_34195364的博客
11-12 195
选择dump好的文件 转载于:https://blog.51cto.com/13751543/2315781
汇编:软件调试案例集锦
07-22
资源名称:汇编:软件调试案例集锦内容简介:本书以案例形式讨论了使用调试技术解决复杂软件问题的工具和方法。全书共36,分为四篇。前两篇每讲述一个有代表性的真实案例。第三篇讨论了调试工具和调试系统的...
汇编 软件调试案例集锦
11-21
前两篇每讲述一个有代表性的真实案例。第三篇讨论了调试工具和调试系统的设计方法。第四篇收录了使用调试器探索计算机世界的若干学习笔记,包括在调试器中细品CPU,通过调试器观察和解码堆块结构,透视Windows8的...
汇编——软件调试案例集锦
01-17
汇编:软件调试案例集锦》以案例形式讨论了使用调试技术解决复杂软件问题的工具和方法。 全书共36,分为四篇。前两篇每讲述一个有代表性的真实案例。第三篇讨论了调试工具和调试系统的设计方法。第四篇收录...
汇编·软件调试
03-28
汇编·软件调试 案例集锦
《软件调试》完整版1 第201-401页0张奎银(附件太大,分开上传)
11-15
本书是直面软件工程中的最困难任务——侦错,围绕软件世界中的最强大工具——调试器,全方位地展示了软件调试技术的无比威力和无穷魅力。 全书主要内容包括:CPU的调试支持;Windows操作系统中的调试设施;Visual C/C++编译器的调试支持,重点讨论了编译期检查、运行期检查,以及调试符号;WinDBG调试器的发展历史、模块结构、工作模型、使用方法、主要调试功能的实现细节和遍布全书应用的实例;内核调试、用户态调试、JIT调试、远程调试的原理、实现和用法;异常的概念、渊源、分发方法、处理方法(SEH、VEH、C++)、编译方法和与调试相关的若干问题;调试符号的作用、产生过程、使用方法和对常用类型
汇编》读书笔记—windbg的使用(中)
u012138730的专栏
09-09 632
笔记本唤醒失败的原因探究(16) 1)如何产生dmp文件 方法在前一说过https://blog.csdn.net/u012138730/article/details/90547384 当唤醒失败了以后,按ctrll+scrolllock 强制蓝屏(需要注册表的设置) 然后就有dmp文件可以分析了。 2)一些常规的命令 分析dmp文件的时候的一些常规操作,之前也介绍过。 设置调试符号路径 .symfix c:\symbols 自动分析 !analyze -v 3)进一
读《汇编》第一并实验
hb_zxl的专栏
05-14 2675
最近发现张银奎老师调试的书不错,新的汇编也买过来看,很快到货了。今天晚上读第一,呵呵,还能做实验,不错。 这是一个从堆数据里面抢救丢失的博客的例子,实验也很有趣,在 dmp文件中搜索到博客内容,并写到文本文件。过程中符号表加载出错,最终看windbg的help顺利排除问题,完成实验,这里记录一下: 准备环境: c盘下面建立gedu 下载 http://www.advdbg.
汇编》-第2笔记
梵·烈火的专栏
05-25 1558
第二  修复因误杀而瘫痪的系统 讲述内容:通过串口连接进行Windows内核调试,定位错误,最终修复一个无法进入桌面的系统。 关键点: F8 “在Windows启动早期,按F8键调出高级启动选项,然后选择调试模式启动。” 不知道为什么在我的Win7下按F8键无法呼出启动选项。 BugCheck       C000021A
汇编》-第3笔记
梵·烈火的专栏
05-26 1427
第3 徒手战木马 讲述内容:遇到一台进入桌面后没有启动explorer.exe的系统,在注册表中发现Winlogon的Userinit项被加入了木马程序。去除Userinit项中的木马程序,重启后,在进入桌面时被强制登出,在安全模式下情况一样。使用ERD(Emergency Repair Disk Commander)启动,再次查看注册表Userinit项,发现Userinit.exe
汇编语言第八:输入输出程序设计解析
"该资源是关于汇编语言的第8——输入输出程序设计的讲解,主要涵盖了I/O设备的数据传送方式,包括程序直接控制I/O和中断传送方式,以及直接存储器存取(DMA)方式。" 在计算机系统中,输入/输出(I/O)程序设计是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值