Windbg脚本中的“变量”之坑(其实叫“别名”)

已于 2023-08-09 22:02:26 修改
阅读量145 收藏 2
点赞数
分类专栏: 工具 windows编程 逆向 文章标签: windows 驱动开发
于 2023-08-09 21:10:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Niatruc/article/details/132191340
版权
逆向 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
工具
4 篇文章 0 订阅
订阅专栏
windows编程
4 篇文章 0 订阅
订阅专栏

在用windbg调试程序的时候,有些命令会重复使用,因此想把这些命令封装为脚本文件,实现自动化。但是在对其“变量”(别名)的使用中遇到了不少坑,致使出现意料之外的值,或者脚本在重复调用时出现前后结果不一致的状况。比如下面的脚本:

ad /q *;
aS ${/v:MyVar} 0x1;
.echo `MyVar` is ${MyVar};

aS ${/v:MyVar} 0x2;
.echo `MyVar` is ${MyVar};

al;

这个脚本先删除所有别名,然后指定MyVar作为数字0x1的别名,并打印MyVar,接着将MyVar作为数字0x2的别名,再打印它,最后al列出所有别名。按往常的编码思维,运行完这个脚本,预想打印的前两行应分别为 `MyVar` is 0x1`MyVar` is 0x2,然而实际结果却是:
在这里插入图片描述
通过查阅使用手册及外网论坛,总结了关于windbg脚本中的别名的如下几个要点:

  • 别名相当于C语言中的宏。因此它出现的位置会在执行命令前替换成它的真实值。如果这个别名未被使用,则直接替换为别名的本名。
  • windbg在遇到一个.block {}块时,会将块中所有别名同时展开。
  • 不同.block {}块中的别名会各自展开。
  • 一个脚本文件相当于一个.block {}块。

也就是说,上面的代码在执行前,先把.echo语句中的${MyVar}展开为它的真实值了,而这时MyVar并未作为别名,所以打印出来的是${MyVar}

如果要让第一次"赋值"有效,从而让第二条.echo语句打印出赋予了新值的${MyVar},则可以利用上述的第三个要点,即使用多个.block {}块:
在这里插入图片描述
这样一来,脚本文件就不会在一开始展开所有的${MyVar},而是先展开第一个.block {}块中的${MyVar},并运行完块中的指令。之后展开第二个.block {}块中的${MyVar},这时${MyVar}已经在第一个.block {}块被“赋值”为0x1,所以第二个块中的${MyVar}便展开为0x1

还有一种吊诡的情况,如果ad /q *;这行命令不在第一行(比如,在它前面加个空行),脚本的运行结果也不一样:
在这里插入图片描述

这意味着ad /q *;这一行并没有生效,而因为我在执行脚本前先把MyVar作为0x3的别名,所以脚本中${MyVar}直接以其已有的真实值0x3展开。原因暂不明了,而这也导致我无法在文件开头加一些注释,无奈之下只能将注释放在文件结尾了。

参考资料

[1] https://stackoverflow.com/questions/36969406/does-windbg-aliases-really-be-expanded-when-a-new-block-of-code-is-entered

Niatruc
关注
专栏目录
windbg 脚本学习总结
bcbobo21cn的专栏
06-17 1111
windbg 脚本简单入门 http://blog.csdn.net/superliuxing/article/details/19206985 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,应用程序调试,远程调试,dump分析等于一身,真是杀人灭口必备利器。但是也由于其太过
开源多协议分布式压力测试工具Tsung详解
最新发布
dvlinker的技术专栏
07-26 65
本文详细介绍开源多协议分布式压力测试工具Tsung。
windbg学习------¥{} Alias Interpreter 别名解释器
weixin_30955341的博客
06-06 89
Text ${Alias} Text Text ${/d:Alias} Text Text ${/f:Alias} Text Text ${/n:Alias} Text Text ${/v:Alias} Text Alias 指定要展开和求值的别名名称。Alias 必须是用户命名的别名或者.foreach关键字使用的变量值 /d 根据别名当前是否已经定义计算出1或者0...
windbg学习----别名
weixin_30765577的博客
10-08 148
0:000> as v version0:000> al Alias Value ------- ------- v version 0:000> vWindows 7 Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatible...
windbg别名用法
如鹿渴慕泉水的专栏
09-28 152
$$ $><C:\Users\admin\Desktop\a\CreateFileW_script.wds bp CreateFileW " r $t0=poi(esp+4) as /mu ${/v:$FileName} $t0 .echo .printf \"[*] Currently open file:%mu\",$t0 .echo .block { .if($spat(@\"${$FileName}\",@\"*test.hwp\")) { .printf \"[+]
60.windbg----as、$u0(固定别名、自定义别名)
hgy413的专栏
10-08 2415
------------------------------------------------------------------------------------- 固定别名($u0~$u9) 有10个固定别名。他们是$u0, $u1, ..., $u9。他们的等价字符串可以是不包含ENTER键的任意字符串。 使用r (Registers)命令为固定别明指定等价字符串。定义
windbg 6.11 6.12 32位与64位版
01-22
- **符号处理**:Windbg可以与微软的公共符号服务器交互,获取程序的符号信息,如函数名、变量名和源代码行号,便于理解调试过程。 - **内存检查**:允许查看和修改进程内存,分析内存状态。 - **线程和模块分析**:...
Windbg
MZLI_L的博客
04-27 1109
文章目录命令系统注意事项标准命令元命令扩展命令常用基本命令程序控制相关命令断点控制相关命令堆栈命令反汇编命令模块分析伪寄存器d系列结构搜索内存示例搜索符号示例搜索调用示例分析模块链搭建双机调试环境常见内核结构SSDT(系统描述服务表)EPROCESSETHREAD内核调试进程分析DUMP文件表达式MASM 表达式C++ 表达式流程控制语句Windbg脚本线程命令寄存器命令字符串通配语法(类似正则表达式)条件断点J命令断点附加命令伪寄存器Windbg脚本伪寄存器别名内存操作指令修改内存示例重定向命令输出Win
Windows-dev-env:具有配置和设置的Windows开发人员工具建议的集合
02-17
- 配置文件:如`.bashrc`或`.zshrc`,用于设置shell环境变量别名。 9. **自动化脚本** - 可能包含批处理脚本或PowerShell脚本,用于自动安装和配置上述工具。 10. **文献资料** - 可能包括安装指南、配置教程...
WinDbg-Samples:WinDbg的示例扩展,脚本和API使用
05-14
这是用于扩展WinDbg的扩展和示例脚本的集合。 随着时间的推移,我们将添加更多示例和扩展。 入门 要加载JavaScript扩展,请执行以下操作: 在本地下载脚本文件。 确保您具有WinDbg的最新版本-Microsoft Store的版将始终是最新的。 否则,您可以使用列出的其他方法之一进行安装。 开始调试会话。 JavaScript扩展(JSProvider)应该会自动加载。 您可以通过运行.scriptproviders命令并检查列表是否包含JavaScript来验证其是否已加载。 如果列表没有JavaScript,请运行.load jsprovider 运行.scriptload <path>或.scriptrun <path> 。 每个脚本的自述文件都有更详细的用法信息。 我们在上提供了有关JavaScript支持的更多
windbg支持python调用,自动分析rootkit
12-13
Windows 7, 64bit Download pykd.zip from https://github.com/corelan/windbglib/raw/master/pykd/pykd.zip and save it to a temporary location on your computer Check the properties of the file and "Unblock" the file if necessary. Extract the archive. You should get 2 files: pykd.pyd and vcredist_x86.exe Run vcredist_x86.exe with administrator privileges and accept the default values. Copy pykd.pyd to C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x86\winext Open a command prompt with administrator privileges and run the following commands: c: cd "C:\Program Files (x86)\Common Files\Microsoft Shared\VC" regsvr32 msdia90.dll (You should get a messagebox indicating that the dll was registered successfully) Download windbglib.py from https://github.com/corelan/windbglib/raw/master/windbglib.py Save the file under C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x86 ("Unblock" the file if necessary) Download mona.py from https://github.com/corelan/mona/raw/master/mona.py Save the file under C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x86 ("Unblock" the file if necessary)
加密与解密 调试篇 动态调试技术 (五)-WinDbg
m0_64180167的博客
06-15 751
自定义别名的命令有3个as ad alas为内存的字符串定义别名ad 删除别名 ad Name ad *al 列出别名as /选项 别名名称 别名实体选项的选择/ma ASCII/e 指定的环境变量/f 指定文件的内容。
WinDbg打印SSDT的参数个数脚本
时空之中的灵魂
07-21 200
WinDbg打印SSDT的参数个数脚本
windbg 脚本简单入门
superliuxing的专栏
02-14 7399
标 题: 【原创】windbg 脚本简单入门 作 者: evileagle 时 间: 2013-10-31,23:04:24 链 接: http://bbs.pediy.com/showthread.php?t=180879 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,
windbg 脚本命令实例
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 785
debugger commands部分,痛苦死了。也找不到WINDBG的插件,还是WINDBG没插件功能?为了简化调试过程,只有学习使用SCRIPT了,现在把这几天的经验跟大家分享。附件所有代码经NOTEPAD,REGEDIT等调试,花了几小时,基本通过。     废话多了,现在是正文。WINDBG的指令比较多,还是英文的,所以我只挑了一部分经常会用到的,并通过实例去告诉大家那些指令的作用
windbg 调试手记
weixin_34174132的博客
10-20 161
bp:打断点 一个按条件断点的例子 bp KERNELBASE!CreateFileW+0x3 "$<d:\\symbols\\script.txt" script.txt的脚本内容为: as /mu ${/v:string1} poi(esp+8).echo ${string1}.if( $sicmp( "${string1}", "d:\abc.htm" ) = 0 ) {} ...
VCDebug、Ollydbg、WinDbg字符串条件断点设置方法总结
把梦想放飞在蓝色的天空里...
10-29 2053
无聊的时候浏览看雪,总是会有些收获。碰到好的文章就转载过来了,再次对原作者表示感谢! 原文:http://bbs.pediy.com/showthread.php?t=173334   大牛直接无视好了 网上关于设置字符串断点的文章不多,但是这个又是一个非常实用的功能。 拍砖请轻轻的VCDebug VCDebug 微软VS自带调试器套件,对字符串断点的支持依然强大。 VC支持在断点条件使用...
Windbg官方文文档:调试工具与内核模式指南
"windbg文档.pdf 是一份关于Windbg的官方文教程,涵盖了从下载调试工具到设置不同类型的调试环境,以及使用WinDbg进行内核模式和用户模式调试的各种方法,包括网络、USB和串行端口的内核调试配置。此外,文档还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值