39.windbg-CPU基础(dg)

最新推荐文章于 2024-06-21 18:41:08 发布
最新推荐文章于 2024-06-21 18:41:08 发布
阅读量1.7k 收藏 4
点赞数 2
分类专栏: windbg 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/8559701
版权

1. 标志寄存器

      DF(Direction flag) 方向标志,为1时使用字符串指令每次操作后递减变址寄存器(ESI和EDI),为0时递增.

CF位可以由STC和CLC指令来设置和清除,DF位可由STD和CLD指令来设置和清除(ST:set,CL: clear)

随意写段代码测试:

	__asm
	{
		pushad
		int 3
	    CLC
		STC
		CLC
		popad
	}




2.控制寄存器

    CR0和CR4包含了很多与CPU工作模式关系密切的重要标志位


3.其他寄存器

  EIP指向的是CPU要执行的下一条指令,其值为该指令在当前代码段中的偏移地址,如果一条指令有多个字节,那么EIP指向的是该指令的第一个字节.


4. 描绘符表

在一个多任务系统中通常会同时存在很多的任务,每个任务会涉及多个段,每个段需要一个段描绘符,系统通过线性表来存放段描述符

一个系统中通常只有一个GDT表,在32位下,长度为48位,高32位是基地址,低16位是边界,在64位下,长度为80位,高64位为基地址,低16位是边界

可以用windbg查看,注意的是必须在内核模式下:


以上显示GDT的边界是3ff=1023,总长度为1024个字节

cs,ds,ss,es,fs和gs是6个16位的段寄存器,在保护模式下,段寄存器内存放的是段选择子

5.观察段寄存器(段选择子)

0:001> r cs
cs=0000001b
0:001> dg 1b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
001B 00000000 ffffffff Code RE Ac 3 Bg Pg P  Nl 00000cfb

其中Sel表示选择子,base和limit分别是基地址和边界,type是段的类型,RE代表只读和可执行,Ac表示被访问过,PI为3是ring3特权级,Bg(big)表示为32位代码,

Gran表示粒度,Pg意味着粒度的单位是内存而(4KB) , Pres代表Present即这个段是否在内存中,Long下的N1表示Not Long,意味着这不是64位代码.


注意的是FS存放的是当前线程的TEB结构:

0:000> r fs
fs=0000003b
0:000> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffde000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3
0:000> ~
.  0  Id: be8.524 Suspend: 1 Teb: 7ffde000 Unfrozen
#  1  Id: be8.2044 Suspend: 1 Teb: 7ffdd000 Unfrozen
0:000> r fs
fs=0000003b
0:000> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffde000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3
0:000> ~1s
eax=7ffdd000 ebx=00000000 ecx=00000000 edx=77a0f17d esi=00000000 edi=00000000
eip=779a410c esp=0181f958 ebp=0181f984 iopl=0         nv up ei pl zr na pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000246
ntdll!DbgBreakPoint:
779a410c cc              int     3
0:001> r fs
fs=0000003b
0:001> dg 3b
                                  P Si Gr Pr Lo
Sel    Base     Limit     Type    l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
003B 7ffdd000 00000fff Data RW Ac 3 Bg By P  Nl 000004f3

仔细观察,我们会发现在不同的线程中 dg fs的Base总是指向当前线程的teb结构首地址





花熊
关注
专栏目录
WinDbg 内核调试常用命令
BpLife
12-05 1804
1. vertarget 命令可以显示目标系统的基本信息,如系统版本,计算机名,内核基质等 kd> vertarget Windows 7 Kernel Version 7601 (Service Pack 1) MP (1 procs) Free x86 compatible Built by: 7601.18113.x86fre.win7sp1_gdr.130318-1533 Machine
2.CPU基础
weixin_30307267的博客
01-31 100
2.4.2 标志寄存器 DF(Direction flag) 方向标志,为1时使用字符串指令每次操作后递减变址寄存器(ESI和EDI),为0时递增. CF位可以由STC和CLC指令来设置和清除,DF位可由STD和CLD指令来设置和清除(ST:set,CL: clear) 随意写段代码测试: __asm { pushad int 3 CLC ...
[转]windows程序员进阶系列:《软件调试》之O--- WinDbg使用介
comhaqs的专栏
03-06 1217
原帖地址:http://blog.csdn.net/ithzhang/article/details/8630429                         windows程序员进阶系列:《软件调试》之O--- WinDbg使用介绍      拥有一个顺手的武器是每一个武林高手梦寐以求的。对于windows程序员来说,WinDbg调试器就是我们的武器。熟练使用调试器能大大提高我们的
WinDbg命令
qq_36308972的博客
07-17 785
段、页 WinDbg可以使用r命令来观察GDTR和IDTR GDTR、IDTR:用来标识GDT表和IDT表的位置和边界 使用dg n 命令(n为数字)可以查看段选择子的对应的描述符信息 线程 使用 ~ 可以列出线程的基本信息 调试 *x a.exe! : 列出a.exe的所有符号 ...
Windbg 常用命令
大黄鸭在发光的专栏
12-19 665
Windbg 是微软开发的一款强大的调试工具,用于调试 Windows 操作系统和应用程序。它支持各种调试技术,包括用户模式和内核模式调试、本地和远程调试、源代码和汇编级别调试等。
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来...
windbg-order.rar_windbg
09-20
本压缩包“windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档“windbg order.doc”将详细介绍一些常用的Windbg命令,帮助你快速掌握这款神器的基本操作。 一、基本概念 Windbg是...
Windbg调试工具 Windbg-10.0.18.zip
08-21
Windbg是一款由微软开发的强大调试工具,主要用于对Windows操作系统下的应用程序进行调试和分析。它集成了丰富的调试功能,包括但不限于崩溃分析、内存检测、线程分析、模块加载、符号解析等,是软件开发者、系统...
windbg调试协议wireshark抓包解析插件_windbg-wireshark.zip
最新发布
09-22
windbg调试协议wireshark抓包解析插件_windbg-wireshark
usb-windbg-driver-14393.zip
08-22
USB-Windbg-Driver-14393.zip是一个压缩包,其中包含了Windows USB调试驱动程序,主要用于在Windows操作系统上进行驱动程序的调试工作。这个驱动的特定版本是10.0.14393.0,与Windows 10版本1607(也称为Anniversary...
WinDbg用法详解,包括WinDbg用法入门及命令用法讲解。
12-16
WinDbg用法详解,包括WinDbg用法入门及命令用法讲解。 WinDbg用法详解,包括WinDbg用法入门及命令用法讲解。
3. WinDbg程序调试
Login255的博客
06-21 774
在《》中,我们介绍了如何使用k命令查看线程栈,如何在线程栈中找到目标地址,如何使用该地址作为g命令的目标参数,以及如何使用!u命令将C#源代码汇编成汇编语句。今天这篇文章,将使用一个全新的C#示例来介绍值类型以及引用类型的内存布局。
windbg命令索引
qq_31932681的博客
01-07 282
分类 命令描述示例($$后为注释) 帮助 ? 显示所有标准命令? .help显示所有元命令.help .help /D      $$ 显示带有DML导航链接的帮助 .help /D r* .hh打开帮助文件.hh .reload !help显示扩展命令eg1:    !ext.helpeg2:    !help d...
windbg命令集合
swartz_lubel的专栏
03-11 1043
调试会话 .create :创建新的进程并调试 例子 .create notepad.exe .attach:附加到指定进程         例子 .attach 2568 .restart:让调试目标重新运行 例子 .restart 或者.restart /f .crash:强制目标系统崩溃(内核态) 例子 .crash .reboot:重启目标系统(内核态) 例子 .reboot
[整理]Windbg常用命令一览
Han的小站
01-03 1284
Windbg常用命令一览
windbg可以查看GDT表
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-28 3831
命令: dg 功能: 显示指定的段描述符信息 示例: 显示一个 0:003> dg 0x18 P Si Gr Pr Lo Sel Base Limit Type l ze an es ng Flags0018 00000000 ffffffff Code RE Ac 3 Bg Pg P Nl
windbg 常用调试命令总结
就是那个党伟
10-16 2900
1.显示所有线程 ~ // 显示所有线程 ~* 2.显示堆栈 kb // 显示当前堆栈 ~0 k // 显示第0个线程的堆栈,主线程
Windows保护模式(一)段寄存器&GDT表
sky123博客
10-08 2453
段式内存管理是将内存划分成若干段,处理器在访问一个内存单元时通过“段基址+偏移”的方式计算出实际的物理地址。 在Intel x86处理器中,有专门的段寄存器,指定每条指令在访问内存时指定在哪个段上进行,以及该段的长度,读写属性,特权级别等。段式内存管理与页式内存管理关系如下图。 Windows采用了页式内存管理方案,在Intel x86处理器上,Windows不使用段来管理虚拟内存,但是,Intel x86处理器在访问内存时必须要通过段描述符,这意味着Windows将所有的段描述符都构造成了从基地址0开始
WinDbg学习笔记七 - 内核调试常用命令1 - 查看目标机
imJaron的博客
11-14 1312
WinDbg提供了很多的命令来查看被调试对象的信息,将分别介绍以下的命令vertarget, dg, !cpuinfo, !pcr, !prcb, !idt, !running。 vertarget: 查看目标机的基本信息,例如系统的版本,内核基址等等。 !cpuinfo: 显示CPU信息 !dg: 显示选择子的详细信息。 !pcr: 显
高效调试必备:探索Windbg-10.0.18.zip的强大功能
资源摘要信息:"Windbg-10.0.18.zip" 知识点: 1. Windbg简介:Windbg(Windows Debugger)是一款由微软开发的强大的调试工具,主要用于在Windows操作系统下对应用程序进行调试和分析。它的功能强大,操作方便,是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值