16.windbg-.cxr、.frame、dt(查找设置设备上下文、切换局部上下文、查找结构体)

最新推荐文章于 2022-06-29 14:45:10 发布
最新推荐文章于 2022-06-29 14:45:10 发布
阅读量8.9k 收藏 10
点赞数 4
分类专栏: windbg 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/7568361
版权


这里使用一个debug程序:

.cxr

设备上下文的常用含义是一组寄存器,表示处理器在某个特定时刻的状态,因此也称为寄存器上下文,当生成异常时,寄存器上下文可以通过异常分发器的保码保存到栈上,并且在引发异常时可以用来恢复寄存器的值。

如何找到这个上下文?最简单的方式是从异常分发过程中使用的各种函数的参数中获取上下文,或者通过栈中搜索上下文,无论通过何种方式找到寄存器上下文,都可以通过.cxr <context address>来将其设置为当前的上下文

KiUserExceptionDispatcher( PEXCEPTION_RECORD pExcptRec, CONTEXT * pContext )
第二个参数就是上下文件地址了 
0:005> dt CONTEXT
02sample!CONTEXT
   +0x000 ContextFlags     : Uint4B
   +0x004 Dr0              : Uint4B
   +0x008 Dr1              : Uint4B
   +0x00c Dr2              : Uint4B
   +0x010 Dr3              : Uint4B
   +0x014 Dr6              : Uint4B

第一个参数ContextFlags的取值是定义的长量,一盘为0x0001003f,表示常量CONTEXT_ALL,所以我们在栈中进行搜索某个内存块的含义时,这个标志是非常有用的,我们可以通过这个标志来找到上下文,并将其设置为当前线程的上下文,从而了解在异常发生之前处理器的状态是什么

0:000> *在地址空间的前256M中搜索完整的上下文
0:000> s -d 0 L10000000/4 0001003f
0009fd24  0001003f 00000000 00000000 00000000  ?...............
001c3b08  0001003f 0001004d 00000000 00000400  ?...M...........
005efd24  0001003f 00000000 00000000 00000000  ?...............
007efd24  0001003f 00000000 00000000 00000000  ?...............
0:000> *将找到的上下文设置到这个地址上
0:000> .cxr 0009fd24  
eax=00000000 ebx=00000000 ecx=00000000 edx=00000000 esi=00000000 edi=00000000
eip=7746e8ac esp=000dfd34 ebp=000dfe50 iopl=0         nv up ei pl nz na po nc
cs=0023  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000202
ntdll!NtDeviceIoControlFile+0xc:
7746e8ac c22800          ret     28h
0:000> k
  *** Stack trace for last set context - .thread/.cxr resets it
 # ChildEBP RetAddr  
WARNING: Stack unwind information not available. Following frames may be wrong.
00 000dfe50 74a3d108 ntdll!NtDeviceIoControlFile+0xc
01 000dfe78 74aa16b4 KERNELBASE!GetConsoleOutputCP+0x58
02 000dfea8 765fa582 KERNELBASE!SetConsoleMode+0x24
03 000dfee4 765fa4a8 msvcrt!getwch+0x112
04 000dff18 01001d63 msvcrt!getwch+0x38
05 000dff30 01001c7b 02sample!AppInfo::Loop+0xb3 [c:\awd\common\menu.h @ 47] 
06 000dff3c 01002038 02sample!wmain+0x1b [c:\awd\chapter2\sample.cpp @ 228] 
07 000dff80 73fd8674 02sample!__wmainCRTStartup+0x102 [d:\vistartm\base\crts\crtw32\dllstuff\crtexe.c @ 711] 
08 000dff94 77464b47 KERNEL32!BaseThreadInitThunk+0x24
09 000dffdc 77464b17 ntdll!RtlGetAppContainerNamedObjectPath+0x137
0a 000dffec 00000000 ntdll!RtlGetAppContainerNamedObjectPath+0x107
0:000> *恢复到默认的上下文
0:000> .cxr
Resetting default scope
0:000> k
 # ChildEBP RetAddr  
00 000dff18 01001d63 02sample!RaiseAV+0x10 [c:\awd\chapter2\sample.cpp @ 55] 
01 000dff30 01001c7b 02sample!AppInfo::Loop+0xb3 [c:\awd\common\menu.h @ 47] 
02 000dff3c 01002038 02sample!wmain+0x1b [c:\awd\chapter2\sample.cpp @ 228] 
03 000dff80 73fd8674 02sample!__wmainCRTStartup+0x102 [d:\vistartm\base\crts\crtw32\dllstuff\crtexe.c @ 711] 
WARNING: Stack unwind information not available. Following frames may be wrong.
04 000dff94 77464b47 KERNEL32!BaseThreadInitThunk+0x24
05 000dffdc 77464b17 ntdll!RtlGetAppContainerNamedObjectPath+0x137
06 000dffec 00000000 ntdll!RtlGetAppContainerNamedObjectPath+0x107






.frame

.frame命令指定使用哪个局部上下文(作用域)来解析局部变量,或者显示当前的局部上下文

所谓局部上下文,是指局部变量所基于的语境,局部变量是指定义在函数内部的变量,这些变量的含义与当前的执行位置密切相关,在调试时,调试器默认显示的是当前函数(程序指针)所对应的局部上下文,因为当前函数和局部变量都是与栈帧密切相关的,所以windbg通常使用栈帧号来表示局变上下文

帧序号(frame number)是堆栈帧在堆栈回溯中的位置。可以使用k (Display Stack Backtrace)命令或者Calls 窗口查看堆栈回溯。第一行 (当前帧) 的帧序号是0。后面的行分别是1、2、3等等。

0:000> kn
 # ChildEBP RetAddr  
00 0012f78c 7c92daea ntdll!KiFastSystemCallRet
01 0012f790 7c932298 ntdll!ZwRequestWaitReplyPort+0xc
02 0012f7b0 7c872a51 ntdll!CsrClientCallServer+0x8c
03 0012f8ac 7c872b98 kernel32!ReadConsoleInternal+0x1be
04 0012f934 7c8018b7 kernel32!ReadConsoleA+0x3b
05 0012f98c 102c207c kernel32!ReadFile+0x64
06 0012fa20 102c19c9 MSVCR90D!_read_nolock+0x62c [f:\dd\vctools\crt_bld\self_x86\crt\src\read.c @ 233]
07 0012fa70 10253e43 MSVCR90D!_read+0x219 [f:\dd\vctools\crt_bld\self_x86\crt\src\read.c @ 93]
08 0012fa98 102523e8 MSVCR90D!_filbuf+0x113 [f:\dd\vctools\crt_bld\self_x86\crt\src\_filbuf.c @ 136]
09 0012faf0 10252440 MSVCR90D!getc+0x208 [f:\dd\vctools\crt_bld\self_x86\crt\src\fgetc.c @ 76]
0a 0012fafc 1025245a MSVCR90D!_fgetchar+0x10 [f:\dd\vctools\crt_bld\self_x86\crt\src\fgetchar.c @ 37]
0b 0012fb04 0041160b MSVCR90D!getchar+0xa [f:\dd\vctools\crt_bld\self_x86\crt\src\fgetchar.c @ 47]
0c 0012fbe4 004114b2 test2!MyCls::hold+0x2b [d:\project1\test2\test2\test2.cpp @ 28]
0d 0012fcec 0041167a test2!foo1+0xa2 [d:\project1\test2\test2\test2.cpp @ 39]
0e 0012fdc0 004116ea test2!foo2+0x3a [d:\project1\test2\test2\test2.cpp @ 45]
0f 0012fe94 00411743 test2!foo3+0x3a [d:\project1\test2\test2\test2.cpp @ 51]
10 0012ff68 00411ce8 test2!main+0x23 [d:\project1\test2\test2\test2.cpp @ 56]
11 0012ffb8 00411b2f test2!__tmainCRTStartup+0x1a8 [f:\dd\vctools\crt_bld\self_x86\crt\src\crtexe.c @ 586]
12 0012ffc0 7c817077 test2!mainCRTStartup+0xf [f:\dd\vctools\crt_bld\self_x86\crt\src\crtexe.c @ 403]
13 0012fff0 00000000 kernel32!BaseProcessStart+0x23
0:000> .frame d
0d 0012fcec 0041167a test2!foo1+0xa2 [d:\project1\test2\test2\test2.cpp @ 39]
0:000> x
0012fce4 pcls = 0x00392a28
0012fcd8 rawptr = 0x00392a28

.frame 帧号,可以把局部上下文切换到指定的栈帧

之后跟x,可以显示当前这个函数里面的局部变量

对应d帧的代码:

void foo1()
{
	MyCls *pcls=new MyCls();
	void *rawptr=pcls;
	pcls->set("abcd");
	pcls->output();
	pcls->hold();
};

x显示的是pcls和rawptr


dt

dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息

dt最方便处是查找结构体,查找结构体一定要使用dt,不要使用x

0:000:x86> dt *!*IMAGE_DOS*
          test1!IMAGE_DOS_HEADER
          test1!PIMAGE_DOS_HEADER
          test1!_IMAGE_DOS_HEADER
          ntdll!_IMAGE_DOS_HEADER
          ntdll32!_IMAGE_DOS_HEADER
          MSVCR90D!IMAGE_DOS_HEADER
          MSVCR90D!PIMAGE_DOS_HEADER
          MSVCR90D!_IMAGE_DOS_HEADER

dt -b this可以打印this指针,只在类中起作用

0:000:x86> dt -b this
Local var @ 0x1cfd00 Type CLook*
0x00683488 
   +0x000 m_i              : 0n1524615000
   +0x004 m_j              : 37 'Unknown format character

如果只想显示某个字段,可以用-ny 加上搜索选项,如:

0:000> dt -v ntdll!_PEB -ny BeingDebugged @$peb
struct _PEB, 91 elements, 0x248 bytes
   +0x002 BeingDebugged : 0x1 ''


-v是详细输出。这会输出结构的总大小和字段数量这样的附加信息

也可以直接这样看大小:

0:000:x86> ?? sizeof(IMAGE_DOS_HEADER)
unsigned int 0x40

也可以用-y 来连接通配符,如:

0:000> dt -v ntdll!_PEB -y B* @$peb
struct _PEB, 91 elements, 0x248 bytes
   +0x002 BeingDebugged : 0x1 ''
   +0x003 BitField : 0x8 ''
0:000> dt pcls
Local var @ 0x12fce4 Type MyCls*
0x00392a28 
   +0x000 str              : 0x00415800  "abcd"
   +0x004 inobj            : innner
0:000> dt rawptr
Local var @ 0x12fcd8 Type void*
0x00392a28 

0:000> dt -b-r pcls
Local var @ 0x12fce4 Type MyCls*
0x00392a28 
   +0x000 str              : 0x00415800  "abcd"
   +0x004 inobj            : innner
      +0x000 arr              :  "abcd"
       [00] 97 'a'
       [01] 98 'b'
       [02] 99 'c'
       [03] 100 'd'
       [04] 0 ''
       [05] 0 ''
       [06] 0 ''
       [07] 0 ''
       [08] 0 ''
       [09] 0 ''
花熊
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg 查看结构体_Windbg入门实战讲解
weixin_42467088的博客
12-31 1320
windbg作为windows调试的神器。是查看内核某些结构体,挖掘漏洞,调试系统内核,调试驱动等必不可少的工具。但是由于windbg命令众多,界面友好程度较差,从而造成新人上手不易,望而却步。本文抛砖引玉,从基础入手,讲解windbg。希望同作为新人的我们一起进步!注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。因为这部分的内容,网络上太多了。读者可自行百度。但是请注意:这两部...
windbg 查看结构体_用WinDbg进行调试
weixin_31050349的博客
12-23 877
通往WinDbg的捷径(一)windbg的使用详细:http://wenku.baidu.com/view/f576c31e650e52ea55189832.html导言你钟情什么样的调试器?如果你问我这个问题,我会回答是“VisualStudio+WinDbg”。我比较喜欢VisualStudio那朴实无华且易操作的接口,更喜欢它能迅速把我需要的信息以可视的形式展示出来。但遗憾的是,Vi...
windbg查阅资料(持续更新)
qq_31932681的博客
06-16 863
打开dump文件,选择“file->Open Crash Dump… ” 打开dump文件。 .lastevent 命令显示最近一次发生的异常或事件。 异常错误码查询 异常 值 描述 EXCEPTION_ACCESS_VIOLATION 0xC0000005 程序企图读写一个不可访问的地址时引发的异常。例如企图读取0地址处的内存。 EXCEPTION_ARRAY_BOUNDS_EXCEEDED 0xC000008C 数组访问越界时引发的异常。 EXCEPTION_BREAKPO
windbg .frame /c
huanongying131的博客
06-11 556
.frame /c FameNumber 1.代码例子: 2.windbg调试进程 4.帧栈 3.查看帧栈1 4.查看栈帧2 5.从中可以看出 .frame /c执行后 eip显示的是下一条指令的地址。 esp是切换栈帧时的值。 比如3中的栈帧1。eip是 call WindbgFrame!Frame0的下一...
图解windbg查看Win7结构体
bcbobo21cn的专栏
08-27 6237
首先用windbg打开notepad.exe; dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。 下面用dt命令查看结构体; 查看peb结构; 查看eprocess结构; 查看特定地址的eprocess结构内容; *是通配符;显示所有peb打头的结构体名称;
windbg 查看结构体_windbg常见命令
weixin_34830055的博客
01-16 2017
WinDbgWinDbg支持以下三种类型的命令:·常规命令,用来调试进程·点命令,用来控制调试器·扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令PDB文件PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全局变量信息。公有PDB文件不包含类型,本地变量和源代码行信息,且只包含...
windbg 查看结构体_图解windbg查看Win7结构体
weixin_33708562的博客
02-11 570
首先用windbg打开notepad.exe;dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。下面用dt命令查看Win7结构体;查看peb结构; 查看eprocess结构; 查看特定地址的eprocess结构内容; *是通配符;显示所有peb打头的结构体名称; 枚举ntkrnlmp中带"Object"的结构体名称;没有,本机记事本没载入nt...
一场因为想偷懒引发的那些事——WinDbg的简单用法
小鸣的专栏
12-13 188
参考&&引用 SOS installer dds, dps, dqs (Display Words and Symbols) SOS.dll (SOS debugging extension) 起因 在那天,那群,有那么一人,问了关于一个封装后的一个COM接口库的问题,继而引发出了以下一系列问题。 前期须知 本次用到的几个Windbg命令如下: .chain 查看Windbg 加载的扩展 .load 加载新的扩展到Windbg,通常使用为 .load xxxxxx 启动xxx为包含Dll名
Windbg命令使用——.Frame
奔涌的后浪的专栏
06-29 571
windbg 分析崩溃文件,查看局部变量的值
windbg dds、dps、dqs
weixin_34247299的博客
12-19 327
  dds、dps和dqs命令显示给定范围内存的内容,它们是把内存区域转储出来,并把内存中每个元素都视为一个符号对其进行解析,dds是四字节视为一个符号,dqs是每8字节视为一个符号,dps是根据当前处理器架构来选择最合适的长度。 比如要看看当前stack 中保存了哪些函数地址,就可以检查ebp  指向的内存: 0:000&gt; dds ebp 0007fdfc 0007ff1c...
windbg常用的查看命令
ShadowAssassin的专栏
09-05 1470
1、dt  查看结构内容    dt + 结构体名称   或者 dt + 结构体名称 + 地址 kd> dt _object_header nt!_OBJECT_HEADER +0x000 PointerCount : Int4B +0x004 HandleCount : Int4B +0x004 NextToFree : Ptr32 Void
Windbg命令学习8(.framedt)
weixin_30361641的博客
05-15 183
这里使用一个debug程序: 1.frame .frame命令指定使用哪个局部上下文(作用域)来解析局部变量,或者显示当前的局部上下文 帧序号(frame number)是堆栈帧在堆栈回溯中的位置。可以使用k (Display Stack Backtrace)命令或者Calls 窗口查看堆栈回溯。第一行 (当前帧) 的帧序号是0。后面的行分别是1、2、3等等。 0:000&gt...
windbg中所谓的上下文
lixiangminghate的专栏
06-17 2507
30.7节简要的提到了windbg调试上下文的概念:如会话/进程/寄存器等上下文。为了深入了解背后的含义,我翻开windbg帮助文档,发现其对进程/寄存器上下文的解释最为晦涩。只能通过实际的练习,趟着石子过河,最后记录下自己的总结。     windbg中与进程上下文相关的命令是.process,与寄存器上下文相关的命令是.cxr,我逐一总结这两个命令的作用。 1..process命令
windbg用法
02-07 96
.frame 进入某一帧 !analyze -v 分析崩溃信息 Ctrl+D打开崩溃文件,需要设置符号文件路径才能分析 ~*kb输出所有线程 ~0s进入0号线程 kn输出所有帧信息 dt -b  this   来查看类的成员变量值 dv 显示临时变量信息 dt 【变量名】显示成员信息
15.windbg-dds、dps、dqs、PE文件解析
hgy413的专栏
05-14 7522
以下默认windbg加载calc程序 1.d*s dds、dps和dqs命令显示给定范围内存的内容,它们是把内存区域转储出来,并把内存中每个元素都视为一个符号对其进行解析,dds是四字节视为一个符号,dqs是每8字节视为一个符号,dps是根据当前处理器架构来选择最合适的长度 比如要看看当前stack 中保存了哪些函数地址,就可以检查ebp  指向的内存 0:000> dds ebp 000
.cxr 手工找异常发生时的寄存器上下文
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-30 1519
1.使用!analyze -v分析出如下一条信息: STACK_COMMAND:  .cxr 02D3EF58 ; kb ; dds 2d3f23c ; kb 2.这个.cxr 02D3EF58 地址是如何得到的呢? ~*kbn 查看所有进程的调用栈情况发现如下信息:  #   ChildEBP RetAddr      Args to Child   0b 02d3ee
WinDBG用法点滴
独上高楼,望断天涯路
01-09 7268
WinDbg   WinDbg支持以下三种类型的命令:   ·        常规命令,用来调试进程   ·        点命令,用来控制调试器   ·        扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令   PDB文件 PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全局变量信息。公有
WinDbg命令dt的使用
pureman_mega的博客
12-24 5159
(不是很全面。可以参考WinDbg的帮助文档。操作系统 win7 32) dt命令主要用来查看相关的变量,结构体等的信息,它配合一些参数使用可以 获取想要的信息。 使用dt命令查看结构体:lkd> dt nt!_list_entry +0x000 Flink : Ptr32 _LIST_ENTRY +0x004 Blink :
WinDBG 常用调试命令总结
热门推荐
CSDN
06-10 1万+
Windbg(Windows Debugger)是一款由Microsoft开发的用于Windows操作系统的强大调试工具。它主要用于分析和调试Windows应用程序、驱动程序以及操作系统本身的问题。Windbg提供了许多功能和命令,可用于诊断和解决各种软件和硬件问题,包括崩溃、死锁、性能问题等。
windbg -xe cpr 1.exe 这个命令行是什么意思
最新发布
06-13
这个命令行是在使用Windbg调试器来运行名为1.exe的程序,并在程序运行过程中监视和记录CPU寄存器的内容。具体来说,-xe参数指定了要监视的内容,这里是cpr,表示要监视CPU的所有寄存器。1.exe是要运行的程序的名称。这个命令行的作用是在程序运行过程中记录CPU寄存器的变化,以帮助调试者检查程序的运行状态和诊断问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值