39.windbg-CPU基础(dg)

最新推荐文章于 2021-07-07 08:11:09 发布
最新推荐文章于 2021-07-07 08:11:09 发布
阅读量1.7k 收藏 4
点赞数 2
分类专栏: windbg 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/8559701
版权

1. 标志寄存器

      DF(Direction flag) 方向标志,为1时使用字符串指令每次操作后递减变址寄存器(ESI和EDI),为0时递增.

CF位可以由STC和CLC指令来设置和清除,DF位可由STD和CLD指令来设置和清除(ST:set,CL: clear)

随意写段代码测试:

	__asm
	{
		pushad
		int 3
	    CLC
		STC
		CLC
		popad
	}




2.控制寄存器

    CR0和CR4包含了很多与CPU工作模式关系密切的重要标志位


3.其他寄存器

  EIP指向的是CPU要执行的下一条指令,其值为该指令在当前代码段中的偏移地址,如果一条指令有多个字节,那么EIP指向的是该指令的第一个字节.


4. 描绘符表

在一个多任务系统中通常会同时存在很多的任务,每个任务会涉及多个段,每个段需要一个段描绘符,系统通过线性表来存放段描述符

一个系统中通常只有一个GDT表,在32位下,长度为48位,高32位是基地址,低16位是边界,在64位下,长度为80位,高64位为基地址,低16位是边界

可以用windbg查看,注意的是必须在内核模式下:


以上显示GDT的边界是3ff=1023,总长度为1024个字节

cs,ds,ss,es,fs和gs是6个16位的段寄存器,在保护模式下,段寄存器内存放的是段选择子

5.观察段寄存器(段选择子)

0:001> r cs
cs=0000001b
0:001> dg 1b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
001B 00000000 ffffffff Code RE Ac 3 Bg Pg P  Nl 00000cfb

其中Sel表示选择子,base和limit分别是基地址和边界,type是段的类型,RE代表只读和可执行,Ac表示被访问过,PI为3是ring3特权级,Bg(big)表示为32位代码,

Gran表示粒度,Pg意味着粒度的单位是内存而(4KB) , Pres代表Present即这个段是否在内存中,Long下的N1表示Not Long,意味着这不是64位代码.


注意的是FS存放的是当前线程的TEB结构:

0:000> r fs
fs=0000003b
0:000> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffde000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3
0:000> ~
.  0  Id: be8.524 Suspend: 1 Teb: 7ffde000 Unfrozen
#  1  Id: be8.2044 Suspend: 1 Teb: 7ffdd000 Unfrozen
0:000> r fs
fs=0000003b
0:000> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffde000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3
0:000> ~1s
eax=7ffdd000 ebx=00000000 ecx=00000000 edx=77a0f17d esi=00000000 edi=00000000
eip=779a410c esp=0181f958 ebp=0181f984 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!DbgBreakPoint:
779a410c cc              int     3
0:001> r fs
fs=0000003b
0:001> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffdd000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3

仔细观察,我们会发现在不同的线程中 dg fs的Base总是指向当前线程的teb结构首地址





花熊
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDbg 内核调试常用命令
BpLife
12-05 1754
1. vertarget 命令可以显示目标系统的基本信息,如系统版本,计算机名,内核基质等 kd> vertarget Windows 7 Kernel Version 7601 (Service Pack 1) MP (1 procs) Free x86 compatible Built by: 7601.18113.x86fre.win7sp1_gdr.130318-1533 Machine
2.CPU基础
weixin_30307267的博客
01-31 89
2.4.2 标志寄存器 DF(Direction flag) 方向标志,为1时使用字符串指令每次操作后递减变址寄存器(ESI和EDI),为0时递增. CF位可以由STC和CLC指令来设置和清除,DF位可由STD和CLD指令来设置和清除(ST:set,CL: clear) 随意写段代码测试: __asm { pushad int 3 CLC ...
[转]windows程序员进阶系列:《软件调试》之O--- WinDbg使用介
comhaqs的专栏
03-06 1109
原帖地址:http://blog.csdn.net/ithzhang/article/details/8630429                         windows程序员进阶系列:《软件调试》之O--- WinDbg使用介绍      拥有一个顺手的武器是每一个武林高手梦寐以求的。对于windows程序员来说,WinDbg调试器就是我们的武器。熟练使用调试器能大大提高我们的
WinDbg命令
qq_36308972的博客
07-17 742
段、页 WinDbg可以使用r命令来观察GDTR和IDTR GDTR、IDTR:用来标识GDT表和IDT表的位置和边界 使用dg n 命令(n为数字)可以查看段选择子的对应的描述符信息 线程 使用 ~ 可以列出线程的基本信息 调试 *x a.exe! : 列出a.exe的所有符号 ...
windbg命令索引
qq_31932681的博客
01-07 241
分类 命令描述示例($$后为注释) 帮助 ? 显示所有标准命令? .help显示所有元命令.help .help /D      $$ 显示带有DML导航链接的帮助 .help /D r* .hh打开帮助文件.hh .reload !help显示扩展命令eg1:    !ext.helpeg2:    !help d...
windbg调试工具windbg-10.0.18.zip
10-24
windbg是Windows平台强大的软件调试利器,可以分析各种软件异常问题。 本压缩包是10.0版本的。
windbg-order.rar_windbg
09-20
windbg的常用命令,是我在学习时做的笔记,初学者适用!
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
WinDbg-x64-v10.0.22621
最新发布
12-14
Windbg是微软开发的一套调试器中的组件。WinDBG属于内核级别调试器,不仅可以用来调试应用程序,也可以调试内核级的代码,如驱动程序。Windbg由于其丰富的命令和对Windows的原生支持还有其易用性,是其他其他调试器...
windbg-info:与使用和改进windbg相关的链接的集合
05-12
windbg信息 该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列表中。 WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析...
WinDbg用法详解,包括WinDbg用法入门及命令用法讲解。
12-16
WinDbg用法详解,包括WinDbg用法入门及命令用法讲解。 WinDbg用法详解,包括WinDbg用法入门及命令用法讲解。
windbg命令集合
swartz_lubel的专栏
03-11 994
调试会话 .create :创建新的进程并调试 例子 .create notepad.exe .attach:附加到指定进程         例子 .attach 2568 .restart:让调试目标重新运行 例子 .restart 或者.restart /f .crash:强制目标系统崩溃(内核态) 例子 .crash .reboot:重启目标系统(内核态) 例子 .reboot
[整理]Windbg常用命令一览
Han的小站
01-03 1245
Windbg常用命令一览
windbg可以查看GDT表
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-28 3755
命令: dg 功能: 显示指定的段描述符信息 示例: 显示一个 0:003> dg 0x18 P Si Gr Pr Lo Sel Base Limit Type l ze an es ng Flags0018 00000000 ffffffff Code RE Ac 3 Bg Pg P Nl
windbg 常用调试命令总结
就是那个党伟
10-16 2643
1.显示所有线程 ~ // 显示所有线程 ~* 2.显示堆栈 kb // 显示当前堆栈 ~0 k // 显示第0个线程的堆栈,主线程
WinDbg学习笔记七 - 内核调试常用命令1 - 查看目标机
imJaron的博客
11-14 1223
WinDbg提供了很多的命令来查看被调试对象的信息,将分别介绍以下的命令vertarget, dg, !cpuinfo, !pcr, !prcb, !idt, !running。 vertarget: 查看目标机的基本信息,例如系统的版本,内核基址等等。 !cpuinfo: 显示CPU信息 !dg: 显示选择子的详细信息。 !pcr: 显
Windbg常用命令备忘
m0_46256056的博客
07-07 2030
Windbg常用命令备忘 windbg是一款微软推出的专业实用的源码调试工具软件。 1、符号表下载方法:使用命令下载对应的符号表symchk /r c:\windows\system32\k* /s SRV*c:\symbols\*https://msdl.microsoft.com/download/symbols,然后就能在c:\symbols目录下得到对应dll的符号表; 2、windbg调试windows内核的设置: (1)vmware设置,删除打印机,添加串口,命名为\.\pipe\comdbg
WinDbg 10大调试命令
虚拟化开发
07-11 896
u: 反编译机器码在检查crash dump是否正确时,你已经用过了此命令,u命令有三种格式:1.u 从地址开始反编译8个机器码。2.u 反编译到之间的所有机器码。3.u 不提供任何参数时,从上次u命令停止的位置开始反编译。当然,反编译打段代码是十分厌烦的,但如果你只想知道在特定地址发生的事情,那这是最便捷的方法。或许u命令最令人感兴趣的特性是它可以解析代码引用到的符号----即使是目标模块
在winxp环境下,用windbg查看GDT表、IDT表、TSS描述符
mengzhongfeixueyi的博客
09-19 5356
转载请注明出处:http://blog.csdn.net/mengzhongfeixueyi/article/details/78033244 一开始什么都不会,不知道如何下手,看ppt上面有个kd>,都不知道kd怎么出来的,自己打开windbg照着网上的选择attach to ……,随便找了个进程打开也不是kd开头的。网上搜索了一圈,才觉得查看GDT、IDT、TSS这些应该是属于内核调
1: kd> .logopen Closing open log file dbgeng.log Opened log file 'dbgeng.log' 1: kd> .logmask -a ^ Syntax error in '.logmask -a' 1: kd> .logclose Closing open log file dbgeng.log
07-23
很抱歉,我之前的回答中有一些错误。在Windbg中,`.logmask`命令不支持 `-a` 参数。要启用所有调试输出的记录,您可以使用`.logmask -i`命令。请尝试以下步骤: 1. 打开日志文件:输入 `.logopen` 命令,然后按回车键。这将会在当前目录下创建一个名为 'dbgeng.log' 的日志文件。 2. 配置日志过滤器:输入 `.logmask -i` 命令,然后按回车键。这将会启用所有调试输出的记录。 3. 关闭日志文件:输入 `.logclose` 命令,然后按回车键。这将会关闭日志文件。 执行完上述步骤后,您可以查看 'dbgeng.log' 文件,其中应该包含了调试输出信息。 如果问题仍然存在,请提供更多关于您的环境和调试过程的详细信息,以便我能够更好地帮助您解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值