windebug使用知识汇集

最新推荐文章于 2024-07-05 08:34:16 发布
最新推荐文章于 2024-07-05 08:34:16 发布
阅读量2.7k 收藏 1
点赞数
分类专栏: Windebug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/renwotao2009/article/details/8301561
版权

1 Windebug调试没有符号文件,怎么显示函数名?

调试的程序里那些API函数都是这种显示

call imge 0x00404422

这个地址 0x00405522的函数名什么?

解决方法:

0:000> dds poi(00405798+2) l1
0051b710  7e42974e user32!GetCursorPos

命令原理:

call    WINCMD32+0x1a908 (0041a908)

CALL指令调用的地址0041a908处通常是一条跳转指令:

00405798 ff2510b75100    jmp     dword ptr [WINCMD32+0x11b710 (0051b710)] ds:0023:0051b710={user32!GetCursorPos (7e42974e)}
0040579e 8bc0            mov     eax,eax

这条跳转指令的目的其实就是跳转到IAT表中对应API表项所保存的API入口。注意上面的机器码ff2510b75100,前两个字节ff25是操作码,后四个字节10b75100是操作数,其实就是间接跳转时取最终目标的地方,转换成DWORD就是0051b710

使用!dh命令可以找到IAT表的位置:

0:000> !dh 00400000

...

  11B000 [    2A20] address [size] of Import Directory

...

也就是说IATA表的偏移是11B000,长度是2A20,上面的地址0051b710就是在这个范围内:

0:000> ?? 0x0051b710-(0x400000+0x11B000) < 0x2a20
bool true

也可以直接dds这个表,来了解导入了哪些API......

当然也可以对IAT表设断点,调用时停下来 :-)

 

renwotao2009
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg - 查看函数地址
tuan8888888的博客
02-08 2687
有时候需要查看函数地址,官方地址https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/x--examine-symbols- 示例:x /D /f lec_teacher!c* 以下命令将查找 MyModule 中包含字符串 "spin" 的所有符号。 0:000> x mymodule!*spin* 以下命令快速查找 MyModule 中的 "DownloadMinor" 和 "Downloa..
WinDebug使用方法详解
07-31
WinDBG 是个非常强大的调试器,它设计了极其丰富的功能来支持各种调试任务,包括用户 态调试、内核态调试、调试转储文件、远程调试等等。 WinDBG 具有非常大的灵活性和可扩展性, 用来满足各种各样的调试需求,比如...
WinDebug使用方法详解.pdf
08-18
WinDebug
C++开发调试工具:GDB调试,windebug调试,adb调试
最新发布
qianniulaoren的博客
07-05 1063
介绍C++开发过充中最常用的调试工具:GDB调试,windebug调试,adb调试,详细介绍adb的配置与调试
14.windbg-k、u、x(堆栈查看、汇编查看、函数查找)
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆栈,以及其他相关信息~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈0:002&gt; ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
学会使用windbg定位程序bug
zhanglidn013的专栏
09-13 1053
0x1工作环境系统:win7 32bit sp1Windbg: 6.12.0002.633 x86测试程序:通过com接口获得系统计划任务0x2被调试程序说明被调试程序是一个通过com接口获取windows的计划任务列表的程序。崩溃时的提示信息 0x3启动winDbg开始调试个人喜欢使用bat脚本文件来打开windbg调试程序。我的脚本文件内容如下 start """C:\Program File...
windebug 指令详解
静故了群动
07-17 2609
1. 线程相关 线程命令是以~开始,后面跟线程id(不是tid,是windbg从0开始的一个编号),或者.,#,*等 ~. 表示当前线程 ~# 表示异常或者产生调试事件的线程 ~* 表示所有线程 ~1 表示一号线程 ~2 s 表示选择2号线程作为当前线程 ~3 f 冻结三号线程 ~3 u 解冻三号线程 ~2 n 挂起二号线程 ~2 m 恢复二线程 线程指令还可以与其他指令混合
WinDebug免安装+使用详细教材
07-23
WinDebug免安装版 可直接点击运行 附带高清pdf详细教材
WinDebug 6.12
02-26
WinDebug 6.12是一款强大的Windows调试工具,主要用于分析系统崩溃、蓝屏错误(Blue Screen of Death,BSOD)和其他应用程序异常。Windows Debug Tools,其中包括WinDbg,是微软提供的一个综合工具集,用于软件调试...
windbg windebug 最新版 for win10
03-21
Windbg和WinDebug是微软开发的强大调试工具,主要用于Windows操作系统下的软件调试,它们在系统级调试、内核模式调试以及用户模式调试方面有着广泛的应用。本文将深入介绍这两个工具的最新版,特别是针对Windows 10...
Windebug专题
flyingleo1981的专栏
03-28 1991
5 解决问题案例 !cs、~~[TID](经典死锁) 随手写的: #include <windows.h > CRITICAL_SECTION cs1; CRITICAL_SECTION cs2; DWORD __stdcall thread1(LPVOID lp) { En...
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 9万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
winDebug 调试
qq_57283958的博客
04-07 3829
调试
这可能是最详细的 Windows Debug 详解 了
咸鱼的笔记
06-08 1万+
Debug概览 Debug是什么? debugWindows 16位或者32位机器上的一款调试工具。也就是说,在WindowsXP及以前的机器上都有debug,直接Win+X debug就可以调出;在之后的32位机也有;但是在之后的64位机器上不存在,即使有,也无法运行。不必尝试到底能不能运行,绝对不能 相似的,微软的masm也无法在64位版本的系统上运行。 可以通过安装dosbox来...
Windows调试工具入门 — 1
eqera的专栏
11-28 6365
一、  引子 Debugging Tools for Windows是微软发布的一套用于软件调试的工具包(后面如果没有指明,那么我会使用WinDbg来作为这一套调试工具的简称)。我第一次接触是在三年前的一个内核驱动项目,由于进行了IDT中键盘鼠标中断的Hook,使用Softice调试时造成会造成影响,只得使用WinDbg通过串口进行双机调试。自此之后这个Windows平台下最为强大的调试工具一直
Windbg中查看函数参数
夏天夏天悄悄过去留下小眯眯
06-21 3684
前言:2013-06-20记录在sina blog上,现在移过来。
windbg命令总结
u011636170的专栏
11-22 443
0 基本操纵 前面的路径可以随便,后面的网址是微软的符号服务器的地址 SRV*D:\localsymbols*http://msdl.microsoft.com/download/symbols r 用来显示当前的寄存器值 g 是恢复执行 g 地址 是执行到指定的地址 1 进程切换 !wow64exts.sw 用这个命令可以实现32位和64位的来回切换 2 模块操作
WinDebug的一些基本使用命令
02-11 1821
查看当前线程的调用堆栈 kb 查看全部线程的调用堆栈 ~*kb 显示分析的详细信息 !analyze -v 继续执行 g 查看线程详细信息,例如线程入口地址 ~21 (数字代表线程id) 查看变量地址 x 变量名,可以用通配符 例如 x 05memcorrupt!g_* 用给定类型查看对象 dt 类型名 地址 例如 dt CAppInfo 0x00032cb0...
windebug使用教程
02-08
下面是WinDbg的使用教程: 1. 下载和安装:从微软官网下载最新版的Windows Driver Kit(WDK),并安装到你的计算机上。 2. 配置符号文件路径:在WinDbg中,选择 "File" -> "Symbol File Path",然后添加Microsoft...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值