WinDbg 学习(2)

最新推荐文章于 2022-07-23 19:38:56 发布
最新推荐文章于 2022-07-23 19:38:56 发布
阅读量210 收藏
点赞数 1
分类专栏: Windows 文章标签: windbg 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Misaka10046/article/details/115410864
版权

内存查看

dt [nt!]_EPROCESS 查看EPROCESS这个表
加上 -r 可以继续把下属的结构体打出来
在这里插入图片描述
同时也支持通配符
在这里插入图片描述
知道了结构体的类型,给出结构体地址,还可以把结构体给打出来
在这里插入图片描述
同时也能只打出某一个成员
在这里插入图片描述
db address size 以一个字节显示值和ASC字符(带感叹号是物理内存,不带感叹号是虚拟内存)
在这里插入图片描述

dw address size 显示两字节的值
在这里插入图片描述

dd address size 显示四字节的值
在这里插入图片描述

dq address size 显示八字节的值
在这里插入图片描述

dp address size 显示指针长度的值
在这里插入图片描述

dD address size 显示double的值
df address size 显示float的值
da address size 显示ASC字符
du address size 显示UNicode字符
在这里插入图片描述

ds address size 显示ANSI_STRING的值
dS address size 显示UNICODE_STRING的值
在这里插入图片描述
d d p 第一位都是d,第二位是要显示的指针长度,d:四字节,q:八字节,p:32位下是四字节,64位下是八字节。第三位是指针的值显示的形式,p:DWORD或QWORD,a:ASC,u:UNICODE。
显示指针指向位置的内存
在这里插入图片描述

查看栈

kb 查看栈
在这里插入图片描述
kp 查看栈,但是把函数的参数收起来了
在这里插入图片描述
kv 启用了FPO优化
在这里插入图片描述

修改内存

eb address value 修改内存一个字节

内核进程线程命令

!process 0 0 以概要的形式,显示系统所有进程
在这里插入图片描述
!process 0 7 查看线程的详细信息
可以使用.logopen 来使其输入到一个文件里面

.process /p EPROCESS 进入该进程上下文
在这里插入图片描述
.thread ETHREAD 进入该线程上下文
!thread ETHREAD 查看线程结构

0xwangliang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg学习资料
11-01
windbg学习资料,包含介绍,基本命令,以及一些简单的例子,教程等等。
使用WinDbg调试内核
Hvnt3r的博客
03-24 3138
知识点 WinDbg是微软提供的一个免费调试器,支持内核调试,也具有监控Windows系统交互的功能。 **驱动与内核代码:**Windows设备驱动简称为驱动,他让第三方开发商在Windows内核模式下运行代码。驱动程序常驻与内存,并且负责响应用户态程序的请求,而且应用程序不直接与驱动程序通信,而是直接访问设备对象,向具体的物理设备发送请求。设备对象由驱动程序创建和销毁,可以被用户态的程序直接访...
WinDbg实践--入门篇
NLP工程化
07-23 2958
  WinDbg从字面意思就是Windows+Debug的组合,即Windows平台上的调试工具,可以调试用户模式、内核模式、dump文件等,总之知道它的调试功能非常强大就行了。WinDbg调试命令分为3种,分别是基本命令、元命令和扩展命令。基本命令和元命令是调试器自带的,元命令总以"."开头,而扩展命令总以"!"开头。后面的系列主要是通过例子+命令来实践WinDbg。 一.配置微软符号服务器[没能成功]   WinDbg在Windows程序中,通常都有一个和XXX.exe相同名字的XXX.pdb,pdb的
几个实用的WinDBG命令
cool_way的专栏
12-17 778
几个实用的WinDBG命令 kn command dump current stack 1: kd> kn  # ChildEBP RetAddr 00 81e33c6c 81898d7c nt!RtlpBreakWithStatusInstruction 01 81e33c74 81898d2e nt!KdCheckForDebugBreak+0x22
使用Windbg分析程序死锁小结
tpriwwq的专栏
12-02 4396
死锁场景描述:          针对之前一个版本反馈回来的问题,对数据通讯模块升级,做了精简和重构         因为ABA问题的存在,将之前以Socket为key改为以只增的Int为key。使用的锁为临界区锁。         修改完成,联调后进行压力测试,发现当后台的线程池满的时候会必然发生死锁。 死锁定位过程     第一步:精简线程模型,将授权检测线程、超时检测等辅助线程通通
学习使用常用的windbg命令(u、dt、ln、x)
wesley2005的专栏
05-25 1万+
目录: (1) u命令(反汇编) (2) dt命令(查看数据结构) (3) ln命令(查找就近的符号) (4) x命令(显示模块的符号) (5) k命令(显示调用栈) (6) d命令(以数据方式显示) (7) b命令(断点) (8) lm lmvm (显示模块信息) (9) .reload (重加载模块) (10) !process !t
WinDbg学习资料
12-13
有关windbg学习的基础资料,其中只有关于windbg的命令等,英文原版
windbg学习系列文章
12-28
windbg的一系列文章,方便学习其调试的方法
windbg学习文档
10-09
学习windbg调试技巧,压缩包包括windbg常用命令.txt以及Windbg在软件调试中的应用.doc,是学习windbg调试技巧的基础性文档
windbg学习资料收集
05-11
windbg资料收集,适合windbg初学者
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 8万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
WinDbg
weixin_30663471的博客
07-08 208
Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。 通过使用WMware虚拟一个操作系统还可以在一台机器上实现操作系统的调试。 1.从http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx下载Install Debugging Tools ...
设置_NT_SYMBOL_PATH(windbg)
09-04 1656
Use the Microsoft Symbol Server to obtain debug symbol files //z 2011-09-04 16:52:[email protected] 转载请注明出处 debug tools for windows,windbg 1. 在windbg中可以使用如下命令: .sympath SRV*f:\localsymbo...
windbg : view nt!IoDriverObjectType
谢绝留言与私信
09-10 2265
/// 系统全局变量声明 extern POBJECT_TYPE *IoDriverObjectType; /// 未文档化API声明 /* kd> x nt!ObReferenceObjectBy* 805238bc nt!ObReferenceObjectByPointer = 805b1ab6 nt!ObReferenceObjectByHandle = 805b242
WinDbg命令dt的使用
pureman_mega的博客
12-24 5076
(不是很全面。可以参考WinDbg的帮助文档。操作系统 win7 32) dt命令主要用来查看相关的变量,结构体等的信息,它配合一些参数使用可以 获取想要的信息。 使用dt命令查看结构体:lkd> dt nt!_list_entry +0x000 Flink : Ptr32 _LIST_ENTRY +0x004 Blink :
Windbg新手入坑指南
鬼手的博客
04-08 3714
文章目录前言熟悉理论 提高调试效率定制自己的Windbg界面关于工作空间命令概述标准命令元命令扩展命令调试技巧伪寄存器开始实战控制调试目标单步步入和单步步过单步执行到指定地址单步执行到下一个函数调用单步执行到下一个分支继续运行追踪并监视停止调试总结使用断点软件断点硬件断点条件断点地址表达式管理断点总结观察栈显示栈回溯总结分析内存显示内存显示字符串显示数据类型搜索内存修改内存其他命令参考资料 前言 ...
Windbg中查看函数参数
夏天夏天悄悄过去留下小眯眯
06-21 3602
前言:2013-06-20记录在sina blog上,现在移过来。
Windbg的常用命令
oBuYiSeng的博客
01-06 653
!process 0 0                     //先打印系统中的进程信息,找到自己想要调试的进程  !process 0 0 notepad.exe         //这里打印下notepad.exe(记事本)进程信息  .process /i /p 8721e2b0         //切换到应用程序的地址空间(默认在system进程空间)  .reload /f /
常用命令
如鹿渴慕泉水的专栏
05-02 309
cnpm install --msvs_version=2015 -g node-inspector  cd "C:\Program Files\nodejs""C:\Program Files\nodejs\npm"  install --msvs_version=2015 -g node-inspector  cnpm install -g node-gypset GYP_MSVS_VERSI...
windbg18362
最新发布
06-22
总之,Windbg18362是一款非常有用的工具,可以帮助我们诊断和解决Windows系统和应用程序的故障,如果你对Windows系统的调试和分析有兴趣,可以考虑学习和使用Windbg18362。 ### 回答3: Windbg18362是指微软操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值