WinDbg学习笔记五 - 内存,寄存器

最新推荐文章于 2021-07-02 19:32:41 发布
最新推荐文章于 2021-07-02 19:32:41 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 调试 文章标签: 调试 debug 内存 寄存器 windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imJaron/article/details/78432155
版权

WinDbg也提供了一系列命令来访问内存跟寄存器。


以之前调试的程序状态为例,来演示几个常用的命令。



开始之前先介绍命令?,用来查看符号的值。比如?speed,则会显示出speed的值,即它的地址。


左边是10进制的值,右边是16进制。可以看到当前的地址是0133f9b8.


输入db 0133f9b8, 按字节来查看该地址的值。


或者dw 0133f9b8 或者 dd, 按word或者dword来查看。


如果直接用d命令,则会按照上一次的选项来查看。如果不带地址,则是从上一次显示结束的地方继续查看。


e* 系列命令跟d*类似,不同的是e是写入。比如eb 0133f9b8 1 1 1 1, 则会把1 1 1 1一次写入。



dv用于查看局部变量的值,比如dv speed。


或者用dv查看全部的当前作用域下的值,<

最低0.47元/天 解锁文章
imJaron
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg寄存器指令——rM
Traxer的学习之路
09-27 5729
1.windbg中直接输入r是转储常用的寄存器的值: kd> r eax=00000001 ebx=ffdff980 ecx=8054bd4c edx=000002f8 esi=00000000 edi=1aa78a2c eip=80528bdc esp=8054abd0 ebp=8054abe0 iopl=0         nv up ei pl nz na po nc cs=00
WingDbg_v1.0双机调试看不到寄存器_调试_windows_windbg_
10-01
解决win10下windbg无法显示寄存器的BUG,老外写了一个补丁的扩展。下载编译好的wingdbg.dll,放windbg相同目录下,执行!wingdbg.regfix,重新打开寄存器窗口就OK了。
windbg 使用python寻找寄存器的值
linux_vae的专栏
08-24 1052
1.推荐一个插件blwdbgue.dll 用来标记相同地址或者寄存器安装pykd,具体可以参照其他博客上次写到利用非挥发性寄存器寻找一些参数或者变量:windbg 调试bug因为每个函数调用修改非挥发性寄存器都会push和pop,所以我们利用python来找到那个帧里面修改了寄存器。from pykd import * from sys import argvkbn=dbgCommand('kbn'
Windbg帮助手册学习笔记(寄存器上下文环境)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-29 842
帮助手册目录: Dbugging Tools for Windows Debuggers Debugger Operation Debugger Operation(Kernel Mode) Changing Contexts Changing Contexts In kernel-mode debugging, there are many processes, thr
Windbg 内核调试寄存器窗口没有数据
sxr__nc的博客
07-16 1868
之前在使用Windbg进行内核调试的时候,想要查看寄存器的值,结果发现打开寄存器窗口之后,不显示数据,但是执行r命令可以正常查看寄存器的值,网上搜索了一下相关资料,记录一下。 环境:Windbg.exe Windows10 x64 也是在网上抄袭来的,原链接如下: https://blog.csdn.net/forchoosen/article/details/107074378(博客链接) https://github.com/mbikovitsky/WingDbg(Git原始链接) 下载之后,将
WinDbg修改寄存器内存
0li's Blog
11-21 7660
1:修改寄存器命令  r @eax=1 2: 修改内存命令 ed (esp+8) 0xffffffff
汇编语言学习笔记---傻瓜式学汇编(共63页).doc
07-04
汇编语言学习笔记---傻瓜式学汇编(共63页) 本文档是汇编语言学习笔记,涵盖了从基本的编程环境搭建到深入理解汇编语言的数据、顺序程序设计、分支结构程序设计、循环、数组及指针、函数、结构等方面的知识点。 ...
windbg-order.rar_windbg
最新发布
09-20
本压缩包“windbg-order.rar_windbg”包含了关于Windbg的使用笔记,非常适合初学者入门学习。文档“windbg order.doc”将详细介绍一些常用的Windbg命令,帮助你快速掌握这款神器的基本操作。 一、基本概念 Windbg是...
灰狐驱动学习笔记系列
09-11
《灰狐驱动学习笔记系列》是一份专注于计算机硬件驱动程序开发的学习资料,涵盖了与驱动程序相关的各种技术细节和实践案例。驱动程序是操作系统与硬件设备之间的桥梁,它们负责管理和优化硬件设备的功能,使得操作...
郁金香驱动班学习笔记.rar
06-25
郁金香驱动班学习笔记,这个名字暗示了我们即将探讨的是关于计算机驱动程序开发的一个课程或者教程集合。在计算机科学领域,驱动程序是操作系统与硬件设备之间的桥梁,它们负责解释和执行来自操作系统的指令,使硬件...
windbg与Bochs一些调试命令笔记
輚至消亡
07-02 660
Windbg 分为三种命令: 标准命令, 点号(.)开头的元命令以及感叹号(!)开头的拓展命令 dd/dw/db: 以dword/word/byte方式查看内存 da xxx: 显示xxx地址处的ascii表示 df xxx:浮点显示 dv: 查看变量内容 du: 查看内存中UNICODE值 display type(dt): 显式结构体内部 (_eprocess, _KPROCESS, _DISPATCHER_HEADER) u: 查看反汇编, 后面加地址 ub: 查看当前指令之前内容的反汇编 uf:
windbg 常用调试命令总结
就是那个党伟
10-16 2745
1.显示所有线程 ~ // 显示所有线程 ~* 2.显示堆栈 kb // 显示当前堆栈 ~0 k // 显示第0个线程的堆栈,主线程
使用WinDbg查看保护模式分页机制下的物理地址
weixin_42486644的博客
06-20 2205
    我们知道,当今主流的x86/x64 Intel处理器默认都使用了保护模式,不同于8086时代的实模式机制,保护模式和分页机制实现了内核层与用户层隔离,进程间执行环境隔离。    对Win32系统比较熟悉的人都知道系统为每一个进程都分配了4GB的进程空间,其中低2GB是用户层空间,而高2GB是内核层空间,而内存地址使用的分页机制下的虚拟地址,而虚拟地址需要通过分页机制的层层转换,才能找到映射...
Windbg查看调用堆栈(k*)
08-23 804
无论是分析程序崩溃原因,还是解决程序hang问题,我们最常查看的就是程序调用堆栈。学会windbg调用堆栈命令,以及理解堆栈中的各个参数的意义就显得至关重要。 上图就是一个典型的Windbg堆栈,如果不理解ChildEBP、RetAddr、Args to Child等参数意义,以及它们之间的来龙去脉,调试工作将很难进行下去。 1. 函数参数 函数...
14.windbg-k、u、x(堆栈查看、汇编查看、函数查找)
热门推荐
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆栈,以及其他相关信息~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈0:002&gt; ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
Windbg学习 (0x000b) 命令-寄存器控制
weixin_33989780的博客
07-17 234
r 读取/设置寄存器值 r Register[:[Num]Type] [= [Value]] 举例: r :打印所有寄存器 r rax r eax r @rax=0 设置寄存器的值 RegisterName: 关于不同架构上的寄存器名称 |63..32|31..16|15-8|7-0|        |AH..AL..| |AX......| ...
windbg调试命令
blacet的专栏
11-05 5535
windbg调试命令  #调试命令窗口  +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ #使用gflags.exe工具(在windbg所在目录下),让某个进程启动时,拉取windbg进行调试 如下截图:当名称为captcomm.exe的进程启动时,拉起windbg调试 也可通过脚本命令来实现: ...
物理内存分析基础 - Dmitry Vostokov
本书《物理内存分析基础》由Dmitry Vostokov撰写,是学习和理解物理内存分析的重要参考资料,特别适用于软件调试和软件问题诊断。作者Dmitry Vostokov是一位在软件诊断服务领域有深厚造诣的专业人士,该书由OpenTask...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值