Windbg条件断点之字符串比较

最新推荐文章于 2024-07-08 02:02:33 发布
置顶 最新推荐文章于 2024-07-08 02:02:33 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: windbg命令收集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslife/article/details/50724513
版权
bu ntdll!LdrLoadDll "r $t0=poi(poi(esp+c)+4);as /mu ${/v:dllname} @$t0;.block{.if($spat(\"${dllname}\",\"*pass.dll\")){kbn}; .else{ad ${/v:dllname};g}}"


// 判断注册表查询的是否是Start *值

bu kernel32!RegQueryValueExW ".if(poi(esp+8)>0) {r $t0=poi(esp+8);as /mu ${/v:valuename} @$t0;du @$t0;.block{.if($spat(\"${valuename}\",\"Start*\")){kbn};.else{ad ${/v:valuename};g}}};.else{g; dd poi(esp+8)}"



扫描虚拟内存中的PE头
.imgscan

cosmoslife
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg 脚本学习总结
bcbobo21cn的专栏
06-17 1105
windbg 脚本简单入门 http://blog.csdn.net/superliuxing/article/details/19206985 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,应用程序调试,远程调试,dump分析等于一身,真是杀人灭口必备利器。但是也由于其太过
windbg断点学习总结
bcbobo21cn的专栏
10-07 7562
WinDBG常用断点命令 http://blog.csdn.net/vangoals/article/details/4458051 WinDBG提供了多种设断点的命令: bp 命令是在某个地址 下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点
windbg字符串比较条件断点
编程语言小筑
08-09 376
windbg字符串比较条件断点 目的: 当寄存器指向字符串为与某个字符串相同时,断下程序。 问题关键: 需要把寄存器指向的字符串取出来比较,而别名可以做到这一点。 测试源码: void main() { char buf[] = "shengfu"; char* p = buf; __asm mov eax, p } 断点: 1e0040141f[e:\...
x64dbg 设断点的小技巧
最新发布
nn_84的博客
07-08 297
x64dbg设断点有3种方式。3 内存变量上设置断点。2 字符串上设置断点。1 代码上设置断点
WinDBG条件字符串断点
09-11 362
1..echo命令显示注释字符串 如:.echo String 2.r $t1=poi(esp+4),poi(esp+4)取地址的值,并赋给伪寄存器$t1 ;        3.as /mu $FileName $t1 ,定义$t1 所指地址一个别名$FileName,用来在下面的$spat使用。/mu代表Unicode字符串,/ma代表ASCII字符串; 4.scmp/sicmp
Windbg 字符串条件断点
墨鱼菜鸡
10-01 239
0x01 前言 Windbg 作为 Windows 下的主流调试器,除了人机交互相比其他调试器略有不足外,其他功能都是十分强大的存...
字符串条件断点
oatnehc的专栏
08-20 2059
OllyDbg OllyDbg的字符串调试也很好用 使用快捷键:Shift+F2设置条件断点,在条件输入。 ASCII字符集字符串设置方法: 代码:     STRING [eax] == "DDLX_CHAR"        STRING [eax] == "DDLX_char" //不区分大小写       STRING [eax] == "DDLX" //不区分文
windbg内存断点学习总结
bcbobo21cn的专栏
11-20 4388
Windbg使用查找内存并设置访问断点 http://www.cnblogs.com/SkyMouse/archive/2012/06/06/2538745.html 在windbg通过s 命令在内存查找字符串或者关键字节码信息 0:005> s -u 00c00000 L1000000 "你好 20:15 2012/6/620:15 2012/6/6"   019
【逆向跟踪】OllyDbg的条件断点字符串和文件读写
Walter的专栏
03-20 8403
原文:http://bbs.pediy.com/showthread.php?t=173334做了些补充。 大牛直接无视好了 网上关于设置字符串断点的文章不多,但是这个又是一个非常实用的功能。 拍砖请轻轻的 VCDebug VCDebug 微软VS自带调试器套件,对字符串断点的支持依然强大。 VC支持在断点条件使用字符串比较函数。 ASCII字符集字符串断点设置
windbg调试和断点学习总结2
热门推荐
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点windbg断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块的某个类的方法设置断点:   设置断点语法:           1:
WinDBG命令行大全
09-07
- `da`: 读取并显示内存的ASCII字符串。 3. **寄存器操作** - `r`: 查看和修改处理器寄存器的值。 - `dr`: 查看和修改调试注册表项。 4. **堆栈跟踪** - `k` 或 `kb`: 显示当前线程的堆栈回溯信息。 - `kv`: ...
Windbg:如何给字符串条件断点
weixin_30753873的博客
01-02 263
因为Windgb支持MASM语法,字符串比较方法有$scmp和$sicmp。用法和c字符串比较方法一致。在需要比较字符串成员变量的时候,遇到了点问题。因为字符串成员变量无法直接获取字符串内容。poi指令是直接取地址。所以需要结合伪寄存器和别名进行封装。 伪寄存器语句如下: 1 r @$t0=@@(&this->_test._Bx._Buf) _...
使用WinDBG + SOS谈对象大小及字符串的结构
weixin_34341117的博客
12-01 87
昨天我们使用了一个最最简单的小实验,来检查相同类型的不同对象大小是否相同。当然,我们很轻易地“验证”得出,不同长度的字符串大小是不一样的。不过这种表面现象其实很难说明问题,因此我现在还是用WinDBG + SOS来进行一些检查,希望可以得到一些表面上看不出来的信息。 准备工作 首先,您需要先去下载并安装WinDBG(不过,其实它是纯绿色的)。我的机器是32位系统,如果您使用64位的机器进行实验...
windbg远程连接字符串
如鹿渴慕泉水的专栏
09-27 178
tcp:server=10.120.1.189,port=8456
WinDbg学习笔记(二)--字符串访问断点
liujiayu2的专栏
12-30 787
一、前言     本文是我自己学习WinDbg的过程,因为目标是逆向分析一个驱动文件,但现在对驱动开发的知识还不是很熟悉,所以先在用户级练习一下破解,熟悉一下操作。我选择的破解程序是《OllyDBG 入门系列(二)-字串参考》的Crack3.exe,也模仿一下在OllyDbg破解的流程,在WinDbg实现一遍。 二、调试思想    《OllyDBG 入门系列(二)-字串参考》一文是使
windbg高级条件断点初探
CButtonST的专栏
03-19 2612
背景介绍: 我对windbg高级条件断点的探究起源于最近遇到一个问题:一个很久没有修改过的模块在用户机器上出现了崩溃,由于模块太旧,且维护人员已经离职,无从知晓到该模块是何时,由谁加载的。为了弄清楚这个问题,于是想到用windbg条件断点应该能定位问题,并进行了一番初步探究。 as /mu ${/v:ModuleName} poi(esp+4) .if ($spat(@"${ModuleName}", "*rtutils.dll")) { .echo ${ModuleName}; kb; } .else
windbg 脚本简单入门
superliuxing的专栏
02-14 7398
标 题: 【原创】windbg 脚本简单入门 作 者: evileagle 时 间: 2013-10-31,23:04:24 链 接: http://bbs.pediy.com/showthread.php?t=180879 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,
WinDBG 调试技巧之设置条件断点
itmes的专栏
07-21 7870
WinDBG 调试技巧之设置条件断点 Setting a Conditional Breakpoint Conditional breakpoints can be veryuseful when you are trying to find bugs in your code. They cause a break tooccur only if a specifi
WinDBG调试技巧:内存与字符串分析
对于以0结尾的字符串WinDBG提供了`da`和`du`命令,分别用于显示ASCII和UNICODE字符串。这些命令会在遇到字符串结束标志0时自动停止显示。 在WinDBG,理解工作空间的概念也很关键。工作空间包含了调试项目的相关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值