Windbg一键脚本,切换进程上下文

已于 2023-09-19 17:09:26 修改
阅读量221 收藏
点赞数
分类专栏: 逆向 windows编程 工具 文章标签: windows 驱动开发
于 2023-08-09 21:56:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Niatruc/article/details/132197590
版权
逆向 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
windows编程
4 篇文章 0 订阅
订阅专栏
工具
4 篇文章 0 订阅
订阅专栏

有时开发一个Windows应用层程序,用Windbg调试,要进行源码中的断点调试,总需要如下繁复的操作:

  • 查看进程管理器管理器,记下要调试的进程的id。
  • !process <进程id> 0,获取进程的EProcess
  • .process /p /i <进程eprocess>,进入目标进程的上下文。
  • .reload,加载调试符号。
  • 打开源文件,设置断点。F5继续运行,触发断点。

为了节省打命令的时间,于是想写一个脚本,只要把目标进程的id提供给它,由它完成以上工作。先看一下!process <进程id> 0命令打印的结果:
在这里插入图片描述
思路就是遍历这个打印的结果中的每个单词,遇到PROCESS,则在循环的下一轮中可取到进程的EProcess值,然后用这个EProcess值切换到目标进程的上下文。完整的脚本如下:

ad /q ${/v:procInfo};
ad /q ${/v:eprocess};
ad /q ${/v:procName};
aS /c ${/v:procInfo} "!process $arg1 0";

.block {
   	.foreach /s (token "${procInfo}")  {
        .if ('${token}' == 'PROCESS') {
            aS ${/v:eprocess} b;
            .echo <z: found word `PROCESS`>;
            .continue;
        }
        .if ('${eprocess}' == 'b') {
            aS ${/v:eprocess} token;
            .echo <z: found eprocess>: token;
            .continue;
        }

        .if ('${token}' == 'Image:') {
            aS ${/v:procName} b;
            .echo <z: found word `Image:`>;
            .continue;
        }
        .if ('${procName}' == 'b') {
            aS ${/v:procName} token;
            .echo <z: found procName>: token;
            .break;
        }
    }

    .block {
        .if ('`${/n:eprocess}`' == '`eprocess`') {
            .echo eprocess;
            .process /p /i ${eprocess};
            g;
        } .else {
            .echo <z: Cannot found process $arg1 >;
        }
    }
}

有两点要注意:

  • 在脚本的开头用了ad命令将后续用到的几个别名作一次清除,以防上次使用脚本后别名的残留值影响到本次运行。

  • 使用.block {}块,是为了防止脚本一运行便将.if ('${eprocess}' == 'b')中的${eprocess}展开。如果把.block {}去掉,就会发现${eprocess}一直都是eprocess。具体原因可参考这篇

  • 20230919修改: 将循环后的对eprocess的判断语句改为:

    .if (‘`${/n:eprocess}`’ == ‘`eprocess`’)

    测试过对${/d:eprocess}进行判断(若eprocess已定义,则展开为1,否则展开为0),发现该值无论如何都展开为0,故选用${/n:eprocess}(若eprocess已定义,则展开为eprocess,否则展开为${/n:eprocess})。另外,不能直接写成:

    .if (‘${/n:eprocess}’ == ‘eprocess’)

    因为'eprocess'会以eprocess的实际数值展开,比如变成'ffffa8089eadf300'这样的。而写成 ‘`eprocess`’ ,即用反引号再加单引号包起来,就不会被展开(不能仅用单引号包起来,会有语法错误)。

使用时,直接执行$$>a<D:\zbh\myScripts\myWindbgScripts\myAttachProc.wds <进程id>。因为使用.process命令时传入了/i参数,即进行侵入式调试,会导致windbg在下面的g命令后停下来,这时脚本中剩下的命令不再执行,所以最后要手动执行一次.reload命令,加载调试符号。如下是运行脚本的结果,之后再手动.reload即可:
在这里插入图片描述

Niatruc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDbg_Scripts:使用调试器数据模型的WinDbg的有用脚本
05-16
WinDbg_Scripts 使用调试器数据模型的WinDbg的有用脚本 用法,示例,说明和常见问题(也可在此处以PDF格式获得): ,
windbg_js_scripts:玩WinDbg JS API的玩具脚本
05-28
WinDbg JavaScript脚本作为WinDbg画廊安装克隆存储库 C:> git clone https://github.com/hugsy/windbg_js_scripts在windbg_js_scripts\config.xml ,编辑Setting Name="LocalCacheRootFolder"以反映存储库的本地路径...
windbg script learn
商少
04-21 532
从需求出发: 定位一个句柄占用导致的文件无法删除的问题: #include <iostream> #include <string> #include <filesystem> #include <windows.h> std::wstring getlineFromConsole() { std::wstring strRet; std:...
服务器关掉的错误显示,在服务器上抛出远程异常时出现Socket关闭错误
weixin_33438811的博客
08-09 224
我有一个使用.Net remoting构建的应用程序。进行身份验证时,如果出现错误,我会在服务器上抛出异常。例外是可序列化的。但是当在服务器上抛出异常时,有时我会在客户端看到一条错误,指出“已建立的连接已被主机中的软件中止”。这是我在尝试调试服务器时从windbg获得的堆栈跟踪。看起来远程处理框架正在这样做。关于套接字被关闭的原因以及如何处理这个问题的任何想法?System.Net.Sockets...
利用window自带的程序进行反弹shell——cdb,regsvr
渗透测试
08-31 789
windows的system文件夹下有一个regsvr32.exe的程序,它就是windows自带的activex注册和反注册工具。(activex不注册是不能够被系统识别和使用的,一般安装程序都会自动地把它所使用的activex控件注册)。Regsvr32命令用于注册COM组件,是 Windows 系统提供的用来向系统注册控件或者卸载控件的命令,以命令行方式运行。......
cdb.exe的利用
weixin_44747030的博客
12-27 1013
cdb.exe的利用
windbg-.process切换进程
whatday的专栏
10-13 2443
.process 命令指定要用作进程上下文进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe [cpp] view plain copy   kd> .process   Implicit process is now 821f5da0   kd> ? @$proc
windbg脚本编写和调试
joinpark的专栏
04-11 611
3.CreateFileW时如何查找a.txt并停下,同时未命中时输出全部文件名的脚本,64位。写一个脚本,例如写一个脚本1.txt,放在c:\tmp下。假设第一个指针是0x0a4db828。4.如何遍历指针->指针->指针。直接在windbg命令行里运行。2.如何下断点的时候执行脚本
WinDbg工具用法分享
weixin_46168796的博客
10-26 245
自动分析:!analyze -v.excr 切换到崩溃的堆栈上下文k/kb/kp 查看堆栈详细信息, kd以raw style查看堆栈信息!threads 显示所有的线程堆栈 ( ~*)~ThreadID 切换到某个线程 (~5s :进到5号线程堆栈里面(要加s!))!address -summary 查看内存概况!heap 0 检查所有的堆内存的概况,!heap -stat -h heapAddress 查看某个堆的详细信息!
windbg学习----.process
weixin_30379911的博客
03-02 476
.process 命令指定要用作进程上下文进程(Set Process Context) .process显示当前进程的EPROCESS,这里显示当前进程为test.exe kd> .process Implicit process is now 821f5da0 kd> ? @$proc Evaluate expression: -2111873632 = 821f...
利用windbg探索进程进程上下文
热门推荐
一介渔夫
10-18 1万+
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 0: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 821b7490 Session
windbg-x64 附带内存泄露的调试脚本
12-21
windbg_x64 附带内存泄露的生成脚本,使用管理员权限执行命令1,2,3,4脚本,设置检测程序和输出路径、pdb符号路径
最新版WinDbg离线安装包
最新发布
11-07
最新版WinDbg离线安装包
记录windbg调试使用
weixin_41725706的博客
11-05 721
x64windbg调试进程和线程结构体
windbg 脚本简单入门
superliuxing的专栏
02-14 7352
标 题: 【原创】windbg 脚本简单入门 作 者: evileagle 时 间: 2013-10-31,23:04:24 链 接: http://bbs.pediy.com/showthread.php?t=180879 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,
13.windbg-!runaway、~、|(控制进程、线程切换
hgy413的专栏
05-14 8166
!runaway !runaway命令显示每个线程消费的时间 Bit 0 (0x1) 让调试器显示每个线程消耗的用户模式时间(user time),默认不加就是0x1 Bit 1 (0x2) 显示每个线程消耗的内核时间(kernel time)。 Bit 2 (0x4) 显示每个线程从创建开始经历了多少时间。 就是三者的组合:1 2 3 4 5 6 70:002> !runaway Us
WinDbg调试子进程
finewings的专栏
12-06 4159
在调试父进程时使用.childdbg命令,这样当子进程创建成功后,调试器会在第一时间得到通知,然后就可以用|命令切换被调试进程开始调试子进程。 参见:http://www.osronline.com/showThread.cfm?link=144937
windbg分析进程卡死
07-29
Windbg是一种Windows调试工具,用于分析进程的崩溃、卡死或其他异常情况。当进程卡死时,可以通过以下步骤使用Windbg进行分析: 1. 打开Windbg并运行进程:在Windbg界面中,选择 "File" -> "Attach to Process",选择要分析的进程并点击 "OK"。 2. 设置符号路径:在Windbg命令行中输入 ".symfix" 命令,设置符号路径以获取正确的调试符号。 3. 获取进程堆栈信息:在Windbg命令行中输入 "kb" 命令,获取当前线程的堆栈信息。根据堆栈信息可以确定进程卡死的位置。 4. 分析卡死原因:根据堆栈信息中的函数调用顺序和参数值,可以推断出导致进程卡死的原因。常见的原因可能包括死锁、内存泄漏、无限循环等。 5. 分析资源使用:使用Windbg的内存和对象查看器,获取进程的内存使用情况和对象分配情况。这可以帮助确定是否有内存泄漏等问题。 6. 分析线程状态:使用Windbg的线程查看器,查看各个线程的状态、堆栈和寄存器信息。根据线程的状态可以推断出是否存在线程间竞争或死锁等问题。 通过以上步骤,可以初步定位进程卡死的原因,并采取相应的调试或优化措施。需要注意的是Windbg是一款强大的调试工具,需要一定的调试经验和对操作系统的了解,才能有效地分析进程卡死问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值