windbg 操作整理 : search, modify, save

最新推荐文章于 2020-03-17 17:42:56 发布
最新推荐文章于 2020-03-17 17:42:56 发布
阅读量945 收藏 1
点赞数

查看堆地址

0:011> !address -f:Heap

  BaseAddr EndAddr+1 RgnSize     Type       State                 Protect             Usage
---------------------------------------------------------------------------------------------
   30000    40000    10000                                                            Heap       [ID: 4; Handle: 00030000; Type: Segment]
  150000   250000   100000                                                            Heap       [ID: 0; Handle: 00150000; Type: Segment]
  250000   256000     6000                                                            Heap       [ID: 1; Handle: 00250000; Type: Segment]

在堆上搜索字符串 

0:011> s -u 150000 L100000 "学"
001b5960  5b66 671f 603b 4f1a 53bb 51e0 6b21 95f5  f[.g;`.O.S.Q!k..
001b5d54  5b66 8001 5bb6 5e26 6765 7684 ff0c 8089  f[...[&^eg.v....
001b6a42  5b66 5230 90a3 91cc 6253 7535 5b50 6e38  f[0R....Sb5uP[8n

显示字符串 

0:011> du 001b5960 L30
001b5960  "学期总会去几次闵行老街,有时是买东西,有时是去闲逛。当时校园附件"
001b59a0  "很是空旷,去一次市区不容易,所以"

修改内存 

eb 001b5960-2 ff fe
ew 001b595e feff


显示内存

0:011> db 001b5960-2 L10
001b595e  ff fe 66 5b 1f 67 3b 60-1a 4f bb 53 e0 51 21 6b  ..f[.g;`.O.S.Q!k

0:011> dw 001b595e L14
001b595e  feff 5b66 671f 603b 4f1a 53bb 51e0 6b21
001b596e  0000 884c 8001 8857 ff0c 6709 65f6 662f
001b597e  4e70 4e1c 897f ff0c



保存内存到文件

0:011> .writemem c:\text_out.txt 001b595e L14
Writing 14 bytes.





LostSpeed
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windbg-info:与使用和改进windbg相关的链接的集合
05-12
windbg信息 该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列表中。 WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析...
利用Windbg深入理解变量的存储模型
weixin_34153893的博客
04-12 107
下面的是一个简单的测试程序,基本包括了所有的变量类型,包括静态的,常量的,全局的,本地的,还有new出来的 #include <iostream> using namespace std; const char* global_const_string = "hello world"; int global_int = 20; static int global...
56.windbg-s、#(搜索字符串、地址、汇编)
hgy413的专栏
07-16 1万+
s(Search Memory) s 命令搜索内存查找指定模板 1.  寻找内存泄露的线索。比如知道当前内存泄漏的内容是一些固定的字符串,就可以在     DLL 区域搜索这些字符串出现的地址,然后再搜索这些地址用到什么代码中,找出这些      内存是在什么地方开始分配的。  2.  寻找错误代码的根源。比如知道当前程序返回了 0x80074015  这样的一个代码,但是不 
Windbg内核调试之二: 常用命令
mergerly的专栏
09-26 1212
运用Windbg进行内核调试, 熟练的运用命令行是必不可少的技能. 但是面对众多繁琐的命令, 实在是不可能全部的了解和掌握. 而了解Kernel正是需要这些命令的指引, 不断深入理解其基本的内容. 下面, 将介绍最常用的一些指令, 使初学Kernel调试的朋友们能有一个大致的了解. 至于如何熟练的运用它们, 还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只
Windbg调试命令详解
Boy_Kris的专栏
02-28 2412
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
Windbg_13-Windbg中的搜索
qq_33168924的博客
11-25 1859
1.内容概要: s 命令搜索内存 在进程的虚拟内存空间中找到想要的数据 符号搜索 不记得符号全名的情况下使用符号搜索找到符号 搜索符号引用 搜索符号引用的意思是:找到使用符号(函数或者地址,变量)的地方 1.1:s 命令搜索内存 内存搜索是调试器中的常见操作,在windbg中搜索内存使用的是s命令,下面讲解s命令的用法: 在指定范围内搜索ASCII字符或者UNICODE字符 s - [fl...
WinDbg_Scripts:使用调试器数据模型的WinDbg的有用脚本
05-16
WinDbg_Scripts 使用调试器数据模型的WinDbg的有用脚本用法,示例,说明和常见问题(也可在此处以PDF格式获得): ,
WinDbg-Samples:WinDbg的示例扩展,脚本和API使用
05-14
要加载JavaScript扩展,请执行以下操作: 在本地下载脚本文件。 确保您具有WinDbg的最新版本-Microsoft Store中的版将始终是最新的。 否则,您可以使用列出的其他方法之一进行安装。 开始调试会话。 JavaScript...
defcon_27_windbg_workshop:DEFCON 27研讨会-使用WinDbg预览进行现代调试
05-22
“使用WinDbg预览进行现代调试” DEFCON 27研讨会该存储库包含的材料概述抽象的现在是2019年,但是太多的Windows开发人员和黑客都依靠(有用但相当)旧式工具来调试Windows二进制文件(OllyDbg,Immunity Debugger)...
PyExt:适用于Python的WinDbg扩展
05-28
适用于Python的WinDbg扩展 当调试CPython解释器时,此调试器扩展提供Python对象和堆栈跟踪的可视化。 它有助于转储文件的实时调试和事后分析。 该项目的目标是在WinDbg / CDB / NTSD中提供与的类似的调试体验。 ...
WinDBG 技巧:如何生成Dump 文件(.dump 命令)
weixin_33979203的博客
02-22 451
程序崩溃(crash)的时候, 为了以后能够调试分析问题, 可以使用WinDBG要把当时程序内存空间数据都保存下来,生成的文件称为dump 文件。 步骤: 1) 打开WinDBG并将之Attach 到crash的程序进程 2) 输入产生dump 文件的命令 WinDBG产生dump 文件的命令是 .dump ,可以选择不同的参数来生成不同类型的dump文件。 选项(1): /m 命令行...
windbg分析dump操作流程
热门推荐
fzzjoy的专栏
06-18 1万+
1、加载pdb: .reload /i /f 2、查看pdb是否加载成功: lm 3、自动分析指令(通常分析出的是主线程的堆栈) !analyze -v 此时通过分析出的堆栈去找有无kernel32!UnhandledExceptionFilter信息 如果有,则此堆栈(主线程堆栈)为异常堆栈; 如果没有,则需查看所有线程堆栈: 4、查看所有线程堆栈: ~*
各种数据转储方法
zanshiyonghuming的博客
02-26 1万+
数据转储是数据库恢复中采用的基本技术。所谓转储即DBA 定期地将数据库复制到磁 带或另一个磁盘上保存起来的过程。当数据库遭到破坏后可以将后备副本重新装入,将数据 库恢复到转储时的状态。 静态转储:在系统中无运行事务时进行的转储操作,如上图所示。静态转储简单,但必 须等待正运行的用户事务结束才能进行。同样,新的事务必须等待转储结束才能执行。显然, 这会降低数据库的可用性。 动态转储:指转储期间允许对
WinDBG中, 使用.shell命令来搜索字符串
weixin_34390105的博客
05-30 110
对于我来说, 使用WinDGB时最有用的命令之一就是.shell命令了.   Debugging Tools For Windows帮助文件说: .shell命令能加载一个shell进程, 并重定向它的输出到debugger中, 或者重定向到一个指定的文件里.   那么为什么我觉得加载一个shell进程会对日常工作有帮助呢? 加载shell进程最简单最常用的功能就是搜索字符串. 你也许会想,...
WinDbg 环境搭建(本地内核调试)
LYSM
03-17 2262
首先需要用 cmd 开启本地内核调试: bcdedit /debug ON bcdedit /dbgsettings local 显示操作完成后重启电脑。 现在打开 windbg 就不会提示什么“your system dos not …” 了: 但是我们还需要配置符号表,注意访问微软的 symbol 服务器需要 科学上网 如果你没有工具的话就不要往下看了。???? File -> symbo...
windbg学习小结
巴朗鱼
09-06 7082
一、命令 1、  加载调试器 命令: .loadby sos mscorwks          .Net 3.5版本及以下 .loadby sos clr                        .Net 4.0            .loadc:\windows\microsoft.net\framework\v2.0.50727\sos.dll          说明:
Load, Modify, and Save an Image - 加载、修改和保存图像
既然选择了远方 便只顾风雨兼程 - 永强
02-23 645
Load, Modify, and Save an Image - 加载、修改和保存图像 OpenCV 4.2.0 - Modules https://docs.opencv.org/4.2.0/index.html OpenCV 4.2.0 - Tutorials https://docs.opencv.org/4.2.0/d9/df8/tutorial_root.html 0. Load, Modify, and Save an Image https://docs.opencv.org/4.2.0/d
windbg 下载包
最新发布
12-17
8. 打开Windbg:完成安装后,可以在系统中找到Windbg的快捷方式,双击打开即可开始使用。 总结起来,下载Windbg可以通过进入微软官网,搜索并进入Windbg下载页面,选择合适的版本,点击下载按钮进行下载,然后按照...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值