在WinDBG中, 使用.shell命令来搜索字符串

最新推荐文章于 2024-08-12 11:11:30 发布
最新推荐文章于 2024-08-12 11:11:30 发布
阅读量1.4k 收藏
点赞数
分类专栏: Windebug

本文转自:http://www.cnblogs.com/awpatp/archive/2010/05/30/1747707.html

对于我来说, 使用WinDGB时最有用的命令之一就是.shell命令了.

 

Debugging Tools For Windows帮助文件说:

.shell命令能加载一个shell进程, 并重定向它的输出到debugger中, 或者重定向到一个指定的文件里.

 

那么为什么我觉得加载一个shell进程会对日常工作有帮助呢? 加载shell进程最简单最常用的功能就是搜索字符串. 你也许会想, 为什么不在debugger里使用Ctrl + F来寻找字符串呢? 因为这样用会节省你的时间.

 

在shell里查找字符串, 我们需要使用DOS中的命令Find这个老朋友. 使用命令find /?来查看帮助文件.

5-30-2010 10-01-07 PM

 

下面的命令就是一个例子: 在lm命令的结果中搜索一个字符串"SharePoint".

5-30-2010 10-10-19 PM

 

本来lm (List Loaded Modules)命令会列出所有的module的, 结果又几十条, 查找起来非常不便. 用.shell命令Find一下子就找到了自己想要的模块.

 

.shell -ci "lm" find /I "SharePoint"

 

 

参数-ci用于指定命令"lm"的输出结果被用来做find命令的输入.

 

摘译自:

Windbg: Using .shell to search text

http://blogs.msdn.com/b/baleixo/archive/2008/09/06/using-shell-to-search-text.aspx

renwotao2009
关注
专栏目录
《格蠹汇编》读书笔记—windbg使用
u012138730的专栏
05-25 5405
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
windbg调试和断点学习总结2
热门推荐
bcbobo21cn的专栏
12-13 1万+
WinDbg 设置断点 在windbg,断点设置的地址形式有好多种,可以是以下几种: 1.虚拟地址:即给出直接地址,如 12345678 2.函数偏移量:如DriverEntry+5c. 3.源代码+行数 :`[[Module!]Filename][:LineNumber]` 4.对C++可以对模块的某个类的方法设置断点:   设置断点语法:           1:
windbg script ---- .shell搜索字符串
weixin_30832143的博客
07-11 214
.shell 命令启动一个shell进程并将他的输出重定向到调试器或指定的文件 语法 .shell[Options][ShellCommand] .shell-iInFile[-oOutFile[-eErrFile]][Options]ShellCommand 看下FIND的解释: Options 可以是任意多个下面的选...
56.windbg-s、#(搜索字符串、地址、汇编)
hgy413的专栏
07-16 1万+
s(Search Memory) s 命令搜索内存查找指定模板 1.  寻找内存泄露的线索。比如知道当前内存泄漏的内容是一些固定的字符串,就可以在     DLL 区域搜索这些字符串出现的地址,然后再搜索这些地址用到什么代码,找出这些      内存是在什么地方开始分配的。  2.  寻找错误代码的根源。比如知道当前程序返回了 0x80074015  这样的一个代码,但是不 
windbg preview搜索字符串
qq_41224661的博客
06-09 557
lmf m 模块名 可以定位模块的起始和结尾地址 s -sa 模块的起始地址 模块的结尾地址 可以搜索整个模块的地址
透过WinDBG的视角看String
泉州博远建材有限公司
01-11 1188
问题 C# String有两个比较有趣的特性. String的恒定性. 字符串横定性是指一个字符串一经创建,就不可改变。那么也就是说当我们改变string值的时候,便会在托管堆上重新分配一块新的内存空间,而不会影响到原有的内存地址上所存储的值。String的驻留. CLR runtime通过维护一个表来存放字符串,该表称为拘留池,它包含程序以编程方式声明或创建的每个唯一的字符串的一个引用
WinDbg命令行选项详解
ShiQW5696的博客
06-04 1778
本文内容摘自:http://www.dbgtech.net/windbghelp/如有侵权请联系。WinDbg命令行选项WinDbg命令使用如下语法:windbg [ -server ServerTransport | -remote ClientTransport ] [-lsrcpath ]   [ -premote SmartClientTransport ] [-?] [-ee {mas...
使用API Monitor探测QQ安装包在创建桌面快捷方式时都调用了哪些API及COM接口,去解决C++程序安装包的问题
最新发布
dvlinker的技术专栏
08-12 1万+
本文详细讲述如何使用API Monitor探测QQ安装包在创建桌面快捷方式时都调用了哪些API及COM接口去解决C++程序安装包的问题。
windows常用doc命令
baidu_20876831的博客
06-09 3365
windows常用命令 打开"运行"对话框(Win+R),输入cmd,打开控制台命令窗口... 也可以通过cmd /c 命令和cmd /k 命令的方式来直接运行命令 注:/c表示执行完命令后关闭cmd窗口;/k表示执行完命令后保留cmd窗口 # 控制台命令窗口一些技巧 复制内容:右键弹出快捷菜单,选择“标记(K)”,然后选所需复制的内容,然后右键即可 粘贴内容:右键弹出快捷菜单,选择“粘贴(P)” 在文件夹空白处按住Shift,然后右键弹出快捷菜单,可以看到“在此处打开命令行窗口” ..
WinDbg学习笔记(二)--字符串访问断点
liujiayu2的专栏
12-30 821
一、前言     本文是我自己学习WinDbg的过程,因为目标是逆向分析一个驱动文件,但现在对驱动开发的知识还不是很熟悉,所以先在用户级练习一下破解,熟悉一下操作。我选择的破解程序是《OllyDBG 入门系列(二)-字串参考》的Crack3.exe,也模仿一下在OllyDbg破解的流程,在WinDbg实现一遍。 二、调试思想    《OllyDBG 入门系列(二)-字串参考》一文是使
Windbg_13-Windbg搜索
qq_33168924的博客
11-25 2114
1.内容概要: s 命令搜索内存 在进程的虚拟内存空间找到想要的数据 符号搜索 不记得符号全名的情况下使用符号搜索找到符号 搜索符号引用 搜索符号引用的意思是:找到使用符号(函数或者地址,变量)的地方 1.1:s 命令搜索内存 内存搜索是调试器的常见操作,在windbg搜索内存使用的是s命令,下面讲解s命令的用法: 在指定范围内搜索ASCII字符或者UNICODE字符 s - [fl...
windbg 内存搜索 s
CAir2的专栏
07-23 2392
s 内存搜索。 具体更复杂的的s命令可以通过.hh查看该命令具体介绍。 索索指定范围内的字符串 s -sa Range#搜索Range范围内的ansi字符串 s -su Range#搜索Range范围内的unicode字符串 s -a Range text#搜索Range范围内的指定的ansi字符串 s -a Range text#搜索Range范围内的指定的unicode字符串 eg:搜索起始地址为00fc0000 ,长度为0x100范围内的ansi字符串 s -sa 00fc0000 00f
字符串搜索命令
程序员资料站
08-30 387
grep [选项] 字符串 文件名 在文件当匹配符合条件的字符串 选项: -i 忽略大小写 -v 排除指定字符串 实战:在abjj查找“gdg”所在的行: 查找不包含“gdg”的行:   ...
WinDBG查看内存的命令
weixin_33832340的博客
01-09 403
当我们在调试器分析问题时, 经常需要查看不同内存块的内容以分析产生的原因, 并且在随后验证所做出的假设是否正确. 由于各个对象的状态都是保存在内存的, 因此内存的内容也就相当于对象的状态.   d命令最常见的格式就是根据指定的类型信息来显示存储在某地址的数据. 调试器并不会去猜测这个地址上存储的是什么数据, 因为在大多数情况下猜测都是错误的. 所以需要用户显式地制定按照何种格式来解析数据....
Windbg常用命令
nethm的专栏
10-26 3074
.extpath 扩展模块搜索路径 .ecxr;kb !analyze -v ~ - 列举出当前进程上下文的所有线程 ~* - 列举出当前进程上下文的所有线程的详细信息 lm - 列举出所有加载的模块 !sym noice/quiet - 代码提示开关 .srcpath -设置源码路径 k - 显示当前堆栈 ~*kb -显示出所有线程占用的堆栈 dv - 显示出本地变量(使
WinDbg基本使用
qq_43179054的博客
02-03 2001
本文主要是windbg的简介以及常用的命令介绍
windbg调试入门
blacet的专栏
10-28 1264
windbg调试入门 转载:http://www.cnblogs.com/kekec/archive/2012/12/02/2798020.html 使用前首先设置符号表,菜单File=>symbol File Path。 如设置为: srv*C:\Program Files\Debugging Tools for Windows (x86)\sym*http://msdl.
WinDBG调用目标函数:.call命令详解及注意事项
首先,通过实例介绍如何在WinDBG使用.call命令。当你启动dbgee小程序并设定了main函数的断点后,可以使用".call MSVCR80D!wprintf(argv[0])"命令来调用wprintf函数,这涉及到C/C++表达式在调试器使用。调用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值