WinDBG自动收集栈信息脚本

最新推荐文章于 2023-04-11 19:39:38 发布
最新推荐文章于 2023-04-11 19:39:38 发布
阅读量274 收藏 1
点赞数
分类专栏: WinDBG 文章标签: Windbg自动脚本 Gflags调试器 收集栈信息 bat脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/84346540
版权

0)脚本代码

@echo off
 
@set tmp_user=%userprofile:\=\\%
 
@set debugger_dir=%userprofile%\Desktop\WinDbg\x86\
 
if "%1" == "" (echo Please Enter Process Name & goto :END)
 
@echo bp kernel32!CreateProcessInternalW ".if(1){.logopen /t \"%tmp_user%\\Desktop\\Stack.log\";du poi(esp+3*4);k;~*k;.logclose;q}";gc; > script.txt
 
@echo [+] Settings Registry with gflags.exe ...
 
start /d "%debugger_dir%" gflags.exe /p /enable %1 /debug "%debugger_dir%\windbg.exe -c '$$< %userprofile%\Desktop\script.txt'"
 
:END

1)使用方法

只需修改调试器路径即可:
debugger_dir= 根据被调试的软件平台,选择合适的调试器目录

例如CVE-2017-0802 、CVE2017-11882,需要附加调试word.exe的子进程EQNEDT32.EXE:

2.bat EQNEDT32.EXE

其他软件,比如IE浏览器,WORD自身的漏洞,直接在后面输入进程名称即可!

2.bat iexplorer.exe

设置好以后,双击打开POC文件即可!

收集栈信息会保存到Stack-时间.log文件中,该文件第二行会打印出要被创建进程的路径信息,请确保是否与POC预期创建进程的路径一致

在这里插入图片描述

2)演示

下面使用CVE-2017-0802这个POC测试,秒收栈信息!
在这里插入图片描述

FFE4
关注
专栏目录
Windows和Linux下排查C++软件异常的常用调试器与内存检测工具详细介绍
dvlinker的技术专栏
08-17 2万+
本文详细介绍了Windows和Linux下排查C++软件异常的常用调试器与内存监测工具。
【愚公系列】2023年06月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
最新发布
时光隧道
05-12 9684
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞并利用其进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
WinDbg_Scripts:使用调试器数据模型的WinDbg的有用脚本
05-16
WinDbg_Scripts 使用调试器数据模型的WinDbg的有用脚本 用法,示例,说明和常见问题(也可在此处以PDF格式获得): ,
windbg 脚本简单入门
superliuxing的专栏
02-14 7399
标 题: 【原创】windbg 脚本简单入门 作 者: evileagle 时 间: 2013-10-31,23:04:24 链 接: http://bbs.pediy.com/showthread.php?t=180879 在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,
Windbg 脚本命令简介
whatday的专栏
02-05 2916
r: registers的简写,可以显示或修改寄存器的值、浮点寄存器的值、定义别名变量。 可以显示当前线程下的寄存器值。 The r command displays or modifies registers, floating-point registers, flags, pseudo-registers, and fixed-name aliases.   0:000> ~2 r
Windbg脚本的使用
yinhaijing123的专栏
05-08 646
本文转自:http://blog.csdn.net/j303913902/article/details/2626089 暂时先留着,以后深入研究 下条件断点: bp User32!IsDialogMessageA ".if( poi( poi(esp+8) ) == 控件的句柄 and poi( poi(esp+8) + 4 ) == WM_LBUTTONUP ){}.else{gc}"
windbg 脚本命令实例
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 785
debugger commands部分,痛苦死了。也找不到WINDBG的插件,还是WINDBG没插件功能?为了简化调试过程,只有学习使用SCRIPT了,现在把这几天的经验跟大家分享。附件中所有代码经NOTEPAD,REGEDIT等调试,花了几小时,基本通过。     废话多了,现在是正文。WINDBG的指令比较多,还是英文的,所以我只挑了一部分经常会用到的,并通过实例去告诉大家那些指令的作用
信息收集及漏洞利用--安全(四)
qq_43371350的博客
04-03 2986
信息收集 收集目标web服务器的网络信息、系统信息、组织信息 网络信息 包括:域名、TCP/UDP的端口、网络协议、防火墙、访问控制策略等 系统信息 包括:系统标识、站点目录、系统架构、路由表、测试/临时文件 组织信息 包括:员工信息、邮箱/电话、公司地址、组织网站、组织背景等 whois信息 收集注册人、电话、邮箱、dns、地址等 whois 信息 whois.chinaz.com , wwww...
三级信息安全技术 知识点总结
九琼的博客
03-26 1015
50单选(可能会有2分)+20填空+综合约20空(可能会有2分)知识点肯定不全,只刷了三套卷整理出来,不过实际考试时感觉这些大约覆盖了实际考题内容的60-70%,还有不少认真读题就能选对的送分题。
可执行文件的装载,进程和线程,运行时库的入口函数(第六章)
u012138730的专栏
05-20 2189
装载过程 程序执行时所需要的指令和数据必须在内存中(指的是物理内存)才能正常运行。程序装载指的就是把这些东西加载到内存中。最简单的装载方式就是把所需的指令和数据全部装入内存,称为静态装载。但是这样会比较消耗内存。动态装载的思想是程序用到哪个模块就装入内存。下面介绍动态加载的过程: 1.创建一个独立的虚拟内存空间 创建的是映射表的数据结构,使用二级表的话,分配一个4K的页目录就可以了,后面的映...
WinDbg-Samples:WinDbg的示例扩展,脚本和API使用
05-14
这是用于扩展WinDbg的扩展和示例脚本的集合。 随着时间的推移,我们将添加更多示例和扩展。 入门 要加载JavaScript扩展,请执行以下操作: 在本地下载脚本文件。 确保您具有WinDbg的最新版本-Microsoft Store中的版将始终是最新的。 否则,您可以使用列出的其他方法之一进行安装。 开始调试会话。 JavaScript扩展(JSProvider)应该会自动加载。 您可以通过运行.scriptproviders命令并检查列表中是否包含JavaScript来验证其是否已加载。 如果列表中没有JavaScript,请运行.load jsprovider 运行.scriptload <path>或.scriptrun <path> 。 每个脚本的自述文件都有更详细的用法信息。 我们在上提供了有关JavaScript支持的更多
windbg 脚本程序编写[1]
FISH 的专栏
09-01 3656
由于 softice 的逝去 , 现在学习 windbg 调试器的人越来越多了。我很高兴看到这样的情景, 因为我是从 windbg 调试器学习起,那还是一年半以前的事了。那时网上有关 windbg 的资料比较少,只能看 windbg 自带的帮助文档,学起来很费劲。 softice  宣布停止开发后这一年多时间里,由于使用windbg 的人数增多,很多相关的技术文档也随之出现,这些技术文档多数是作者
编写脚本增强windbg、内存窗口【有码有真相啊】
superliuxing的专栏
02-19 1202
标 题:编写脚本增强windbg、内存窗口【有码有真相啊】作 者:lovesuae时 间:2011-09-07 00:02:23  链 接:http://bbs.pediy.com/showthread.php?t=139816 http://hi.baidu.com/isuae http://www.krnldbg.com     因为要频繁地使用windbg分析堆、参
编写 Debugging Tools for Windows 扩展,第 3 部分:客户端和回调 (windbg 插件 扩展)
whatday的专栏
03-25 1433
调试器引擎 API 编写 Debugging Tools for Windows 扩展,第 3 部分:客户端和回调 Andrew Richards 下载代码示例 http://download.csdn.net/detail/whatday/7133071 在关于调试器 API 的第三部分中,我将深入探讨调试器扩展与调试器之间可能存在的关系。 我将概要介绍调试器客户端和调试器回调。 在此...
windbg脚本编写和调试
joinpark的专栏
04-11 685
3.CreateFileW时如何查找a.txt并停下,同时未命中时输出全部文件名的脚本,64位。写一个脚本,例如写一个脚本1.txt,放在c:\tmp下。假设第一个指针是0x0a4db828。4.如何遍历指针->指针->指针。直接在windbg命令行里运行。2.如何下断点的时候执行脚本
windbg脚本实践2----监控特定注册表键值创建和删除
weixin_30782331的博客
11-23 107
 在Cmxxkey层面下断点,配合bp /t (/p) 命令可以监控指定线程 进程 对指定注册表键值的创建和删除。 $$***************************************************************** $$ Script by kms_hhl to monitor regvalue delete set $$ Create Time 2...
Windbg扩展的一些参考文章
aozhi2719的博客
01-05 98
Windbg脚本和扩展工具开篇http://www.cnblogs.com/pugang/archive/2012/11/30/2796617.html WinDbg简单扩展DLL http://www.pediy.com/kssd/pediy10/87790.html 转载于:https://www.cnblogs.com/gomen/p/3506201.html...
windbg使用脚本自动进入进程
如鹿渴慕泉水的专栏
11-20 304
windbg脚本=>“C:\dbg\spn.txt” .scriptload E:\git\WindbgProject\myjs\mysct.js; dx -r1 Debugger.State.Scripts.mysct.Contents.pn(${$arg1}); js文件->E:\git\WindbgProject\myjs\mysct.js; ///<reference ...
windbg脚本实践3----监控特定进程创建
weixin_30516243的博客
11-23 190
$$***************************************************************** $$ Script by kms_hhl to monitor process create and show call stack $$ Create Time 2014_11 $$ nt5 NtCreateProcess->NtCreateP...
WinDBG调试技巧:观察回溯
例如,第8节将详细阐述如何在WinDBG中观察,包括使用k命令的不同变体来获取不同形式的信息。 在控制调试目标、设置断点、观察和修改数据等方面,WinDBG提供了丰富的功能。通过第6节到第9节,读者可以逐步了解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值