windbg技巧:列出当前进程所有装载的模块(dll/exe)

最新推荐文章于 2022-07-12 17:17:37 发布
最新推荐文章于 2022-07-12 17:17:37 发布
阅读量3k 收藏 3
点赞数
分类专栏: C++

调试的时候想要知道当前进程装载了哪些模块,每个模块被装载的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现:



0:001> lm
start end module name
00830000 00858000 notepad (pdb symbols) c:\debuggers\externalsymbols\notepad.pdb\7dac7b3d7d1d4e68be2132eab080d42c2\notepad.pdb
70990000 709d2000 winspool (export symbols) c:\windows\system32\winspool.drv
738c0000 738ff000 uxtheme (pdb symbols) c:\debuggers\externalsymbols\uxtheme.pdb\d6b5a4e899af4946ba6e4611d58409c02\uxtheme.pdb
74a80000 74c1d000 comctl32 (export symbols) c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.6002.16497_none_5cc0004408832c27\comctl32.dll
75e30000 75e7b000 gdi32 (export symbols) c:\windows\system32\gdi32.dll
75ec0000 75f32000 comdlg32 (export symbols) c:\windows\system32\comdlg32.dll
75f40000 75fdd000 user32 (pdb symbols) c:\debuggers\externalsymbols\user32.pdb\750e7375884c4ea592c8b0c8adb018542\user32.pdb


(....省略)



从上面结果可以看出,uxtheme.dll 模块被装载在地址738c0000 ~ 738ff000。



如果lm列表很长,希望过滤出自己感兴趣的模块,可以使用lm m 表达式 命令。



0:001> lm m *theme*
start end module name
738c0000 738ff000 uxtheme (pdb symbols) c:\debuggers\externalsymbols\uxtheme.pdb\d6b5a4e899af4946ba6e4611d58409c02\uxtheme.pdb



如果想要了解该模块的详细信息(比如版本,日期等)还可以加上v选项,使用lmvm 命令:


0:001> lmvm *theme*
start end module name
738c0000 738ff000 uxtheme (pdb symbols) c:\debuggers\externalsymbols\uxtheme.pdb\d6b5a4e899af4946ba6e4611d58409c02\uxtheme.pdb
loaded symbol image file: c:\windows\system32\uxtheme.dll
image path: c:\windows\system32\uxtheme.dll
image name: uxtheme.dll
timestamp: fri jan 18 23:32:10 2008 (4791a77a)
checksum: 0004868f
imagesize: 0003f000
file version: 6.0.6001.18000
product version: 6.0.6001.18000
file flags: 0 (mask 3f)
file os: 40004 nt win32
file type: 2.0 dll
file date: 00000000.00000000
translations: 0409.04b0
companyname: microsoft corporation
productname: microsoft® windows® operating system
internalname: uxtheme.dll
originalfilename: uxtheme.dll
productversion: 6.0.6001.18000
fileversion: 6.0.6001.18000 (longhorn_rtm.080118-1840)
filedescription: microsoft uxtheme library
legalcopyright: © microsoft corporation. all rights reserved.




想要了解该uxtheme.dll 的详细调试文件(pdb)信息,可以使用!lmi 命令:


0:001> !lmi uxtheme
loaded module info: [uxtheme] 
module: uxtheme
base address: 738c0000
image name: c:\windows\system32\uxtheme.dll
machine type: 332 (i386)
time stamp: 4791a77a fri jan 18 23:32:10 2008
size: 3f000
checksum: 4868f
characteristics: 2102 perf
debug data dirs: type size va pointer
codeview 24, 375a0, 369a0 rsds - guid: {d6b5a4e8-99af-4946-ba6e-4611d58409c0}
age: 2, pdb: uxtheme.pdb
clsid 4, 3759c, 3699c [data not mapped]
image type: file - image read successfully from debugger.
c:\windows\system32\uxtheme.dll
symbol type: pdb - symbols loaded successfully from symbol server.
c:\debuggers\externalsymbols\uxtheme.pdb\d6b5a4e899af4946ba6e4611d58409c02\uxtheme.pdb
load report: public symbols , not source indexed 
c:\debuggers\externalsymbols\uxtheme.pdb\d6b5a4e899af4946ba6e4611d58409c02\uxtheme.pdb

dongpanshan
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDBG技巧列出当前进程所有装载模块(DLL/EXE)
weixin_33893473的博客
02-12 337
调试的时候想要知道当前进程装载了哪些模块,每个模块装载的代码地址段是在哪个范围,可以使用lm命令。 拿notepad为例,输入lm命令可以发现: 0:001> lmstart    end        module name00830000 00858000   notepad    (pdb symbols)          c:\debuggers\externalsymbols...
枚举进程的所有模块
qiuxue110的专栏
02-27 785
若要确定哪些进程加载了特定 DLL,必须枚举每个进程模块。 下面的示例代码使用EnumProcessModules函数枚举系统中当前进程模块。 #include <windows.h> #include <tchar.h> #include <stdio.h> #include <psapi.h> // To ensure correct resolution of symbols, add Psapi.lib to TARGETLIBS // a..
【c#】使用WinDbg查看方法表
践行终生成长
07-12 1091
《C#从现象到本质》第四章提到了方法表,感觉是语言里很精华的部分,比光学语法规则有趣多了。书里直奔主题,被绊倒了好几天,怒写入门小文章。旧是旧了点,其实也能用。 参考 Download Debugging Tools for Windows - WinDbg - Windows drivers | Microsoft Docs 打开Microsoft Store,搜索windbg, 点击安装,用了全局代理才安装到,这里大家就八仙过海的下一句。创建项目-c#控制台应用(.Net Framework),名为Co
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 8万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
枚举Windows进程模块的几种方法-PEB内核结构详解
QQ_3094353627的博客
05-06 1517
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h header - Win32 ...
WinDbg Uncovered:WinDbg中的高级调试技术-开源
05-15
创建该项目/文档的目的是为了更深入地了解使用WinDbg进行的高级调试和转储文件分析/概念。 该文档包含编程错误/问题的真实场景,并附有作者的解释。
windbg_js_scripts:玩WinDbg JS API的玩具脚本
05-28
WinDbg中,加载config.xml文件并保存设置: 0:000> .settings load \path\to\windbg_js_scripts\config.xml[...]\windbg_js_scripts\config.xml has been loaded successfully.0:000> .settings saveSettings ...
windbg-info:与使用和改进windbg相关的链接的集合
05-12
windbg信息 ... Windbg技巧-JavaScript Windbg Instrumentation coreland有用的链接 漏洞利用写作教程第11部分:雾化喷涂 DEPS –在Firefox和IE10上进行精确堆喷 WinDBG和JavaScript分析 备忘单 ...
WinDbg_Scripts:使用调试器数据模型的WinDbg的有用脚本
05-16
WinDbg_Scripts 使用调试器数据模型的WinDbg的有用脚本用法,示例,说明和常见问题(也可在此处以PDF格式获得): ,
Windbg中文调试手册
04-26
- Windbg支持的操作系统包括Windows 11的所有版本以及Windows 10周年更新(版本1607)或更高版本。 - 支持的处理器架构为x64和ARM64。 **安装与更新** - 用户可以通过点击“安装”按钮来下载和安装Windbg。安装...
搬运! Windbg调试命令详解
TTdreamloong的博客
02-07 2725
转载注明>>【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exeWindbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共同特点是,都只有控制台界面,以命令行形式工作。 Windbg.exe在用户态、内核态下都能够发挥调试功能,尤其.
利用windbg探索进程进程上下文
一介渔夫
10-18 1万+
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 0: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 821b7490 Session
process explorer 查看句柄或者加载dll
yasi_xi的专栏
09-15 1万+
转自:http://hi.baidu.com/etta0210/item/3541e9f15ed00740922af25d 打开process explorer 选中想要查看句柄或者加载dll进程 菜单点击view——Lower Pane View,其下有DLLS和Handles,选中即可。同时,需要勾选Show Lower Pane才能显示出来
WinDBG中查看调用栈的命令
weixin_34138139的博客
01-01 272
命令 ========== k k命令显示的是一定数量的栈帧, 其中帧的数量是由.kframes命令来控制的, 默认值是256。   kp 5 显示调用栈中前5个函数以及他们的参数.   kb 5 显示调用栈中前五个函数以及他们的前三个参数.   kf 5 显示在调用栈中五个函数所使用的栈的大小. 每个栈帧所占的空间使用量的计算方法是: 将当前函数的栈基指针与在函数中调用的任何一...
windbg下EPROCESS获取进程加载模块
125096
06-28 2688
//查看指定的进程信息 kd> !process 0 0 explorer.exe PROCESS 88adb2b0 SessionId: 1 Cid: 0534 Peb: 7ffdd000 ParentCid: 0520 DirBase: 3eb99280 ObjectTable: 8c033088 HandleCount: 674. Image: explore
枚举windows进程模块的几种方法—PEB内核结构详解
阔野的专栏
11-18 4941
1. 引言 在诸多的场景中(例如软件测试,软件安全研究等领域)经常需要分析在目标进程中具体加载了哪些模块(DLL),以及所加载模块的信息(如模块基地址,映射文件大小等)。获取这windows进程加载模块信息,曾经有一个行之有效又很便捷的方法,使用windows提供PSAPI(psapi.dll,windows进程状态信息接口)提供的相关的接口就可以快捷的获取进程进程加载模块信息。有关PSAPI接口可以参考psapi.h或者微软的官方文档Psapi.h heade...
windbg 查看某个进程EPOCESS结构
huanongying131的博客
12-07 1965
转:http://blog.sina.com.cn/s/blog_5ddb672b01017xrh.html windbg 查看某个进程EPOCESS结构,debugport清零 内核调试下 1. !process 0 0 列出所有进程的信息 lkd&gt; !process 0 0 Unable to read selector for PCR for processor 0 ***...
WinDBG 技巧列出模块(DLL/EXE)里面所有的符号(symbol)
IE浏览器开发
02-12 8430
想对某个函数下断点,但是记不清楚的函数具体的名字,这个时侯可以使用x命令来列举所有的符号。 命令格式为:x [选项] 模块名字!符号匹配表达式  这里的符号匹配表达式类似dos的文件名匹配表达式,可以用*号和?号做通配符。比如我想列出user32.dll里面所有的以GetWindowT开头的符号,使用命令 0:016>  x user32!GetWindowT*75
windbg修改进程id
最新发布
04-08
Windbg中修改进程ID可以通过以下步骤实现: 1. 打开Windbg,并选择“文件”->“附加到进程”。 2. 在弹出的对话框中,输入要调试的进程ID,并点击“附加”按钮。 3. Windbg会连接到指定的进程,并显示相关的调试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值