windbg常用指令之四:虚拟内存操作指令

最新推荐文章于 2025-01-08 10:04:07 发布
最新推荐文章于 2025-01-08 10:04:07 发布
阅读量1.9k 收藏 1
点赞数 1
分类专栏: debug 文章标签: 内存 windbg windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyikuyu/article/details/9182293
版权
本文介绍了Windbg中用于虚拟内存操作的几个关键指令,包括.dvalloc进行内存分配,.dvfree释放内存,.writemem将内存写入文件,.readmem读取文件内容到内存,以及使用!address查看内存信息和!vprot检查虚拟内存保护属性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

.dvalloc 申请虚拟内存

.dvfree 释放虚拟内存

.writemem 写内存到文件

.readmem 读文件到内存

!address 内存信息查看

!vprot 看虚拟内存保护属性

0:001> .dvalloc 1000
Allocated 1000 bytes starting at 01150000
0:001> !vprot 01150000
BaseAddress:       01150000
AllocationBase:    01150000
AllocationProtect: 00000040  PAGE_EXECUTE_READWRITE
RegionSize:        00001000
State:             00001000  MEM_COMMIT
Protect:           00000040  PAGE_EXECUTE_READWRITE
Type:              00020000  MEM_PRIVATE
0:001> !address 01150000 + 5

                                     
Failed to map Heaps (error 80004005)
Usage:                  <unclassified>
Allocation Base:        01150000
Base Address:           01150000
End Address:            01151000
Region Size:            00001000
Type:                   00020000	MEM_PRIVATE
State:                  00001000	MEM_COMMIT
Protect:                00000040	PAGE_EXECUTE_READWRITE

0:00
最低0.47元/天 解锁文章
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5561
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
通过查看Windbg中汇编指令内存中的值去定位软件崩溃问题
dvlinker的技术专栏
09-25 9666
通过查看Windbg中汇编指令内存中的值去定位软件崩溃问题。
Windows内核基础之虚拟内存空间布局
tutucoo
11-26 1338
32位Windows操作系统支持32位寻址,因此2的32次方就等于4GB,每个程序在运行时都会被映射进4GB空间的内存空间,这4GB空间不全是用户可以使用的,其中0x7fffffff-0xffffffff是2GB的内核空间,这部分用来保存内核的数据,用户程序是无法直接访问的。 进程空间的地址是一个逻辑地址,它首先通过分段机制的段选择子和偏移地址计算出一个线性地址,再由分页机制分解线性地址,最...
05-windbg工具定位内存问题-01
qq_37103755的博客
12-10 2004
windbg分析内存问题
windbg堆检查配置
如鹿渴慕泉水的专栏
09-04 290
!gflag +htc +hfc +hpc +ust .childdbg !heap -p -a eax _NT_SYMBOL_PATH symsrv*symsrv.dll*F:\Symbol*http://msdl.microsoft.com/download/symbols
windbg中memory查找以及写到文件
jtujtujtu的专栏
12-05 6096
在Debug Driver时,我们经常需要用到kernel debug来抓取LOG,但是如果没有Kernel Debug,如何来抓取Debug LOG呢? 方法之一就是将log写到内存,在BSOD时,抓取kerenl memory dump文件进行分析,这里记录下这两个命令,用来查找内存块,写内存到文件。 1, !poolfind TAG 2, .writemem filename ra
windbg修改内存,查找地址
zhuqiyua的博客
11-16 1080
请注意,修改内存中的指令可能会导致程序行为异常,特别是如果你修改的是正在执行的代码。在例子中,将 “hello” 写入到指令指针指向的地址可能会导致程序在尝试执行这些字节时崩溃,因为它们不是有效的指令。这个地址处的内存内容以十六进制形式显示,紧接着的是 ASCII 表示的字符串 “hello”,后面跟着几个。是 32 位架构中的指令指针寄存器的名称,在 64 位架构中,指令指针寄存器的名称是。指向的地址,这通常是你当前正在执行的指令的地址。命令来搜索内存中的字符串。,这是一个故意的断点,通常用于调试目的。
Windbg调试命令汇总
热门推荐
dvlinker的技术专栏
10-19 2万+
Windbg调试命令汇总
深入理解WinDBG内存分析与显示命令详解
内存地址是内存空间的标识符,通常分为物理内存地址和虚拟内存地址,而在WinDBG调试环境中,我们通常关注的是虚拟内存地址。 WinDBG是一款强大的调试工具,尤其适用于Windows系统的调试任务,如用户态和内核态调试...
Windbg 脚本命令简介
whatday的专栏
02-05 3011
r: registers的简写,可以显示或修改寄存器的值、浮点寄存器的值、定义别名变量。 可以显示当前线程下的寄存器值。 The r command displays or modifies registers, floating-point registers, flags, pseudo-registers, and fixed-name aliases.   0:000> ~2 r
windbg 命令_从堆里找回“丢失”的代码相关命令简介
weixin_39862794的博客
12-12 207
前言 在上一篇文章中,我们主要使用了三个命令 !address,s,.writemem 把丢失的代码成功的保存到了文件中。本文简单介绍一下上文用到的这三个命令。windbg 中的地址范围语法 很多命令都会用到 地址范围。比如 s 命令,.writemem 命令。在 windbg 中可以通过两种形式指定地址范围。起始地址 L长度 或者 起始地址 终止地址。在上一篇文章中,我们使用的是 起始...
WinDbg命令详解--内存操作
Arbboter的专栏
03-17 4249
分配内存指令:.dvalloc .dvalloc指令类似与VirtualAlloc函数。可以指定分配的大小、类型(MEM_RESERVE | MEM_COMMIT)(加上参数 / r,申请的内存类型为MEM_RESERVE。默认为MEM_COMMIT)、起始地址(加上参数 / b) 使用.dvalloc分配的内存都是PAGE_EXECUTE_READWRITE属性 释放内存指令 :
基础调试命令 - .dump/.dumpcap/.writemem/!runaway
weixin_30516243的博客
07-13 383
Windbgwindows平台上强大的调试器,它相对于其他常见的IDE集成的调试器有几个重要的优势, Windbg可以做内核态调试 Windbg可以脱离源代码进行调试 Windbg可以用来分析dump文件 Windbg支持丰富的调试扩展 以下是一些windbg安装和使用相关的文档, Installing and Configuring WinDbg (Windows De...
[转]windows程序员进阶系列:《软件调试》之O--- WinDbg使用介
comhaqs的专栏
03-06 1340
原帖地址:http://blog.csdn.net/ithzhang/article/details/8630429                         windows程序员进阶系列:《软件调试》之O--- WinDbg使用介绍      拥有一个顺手的武器是每一个武林高手梦寐以求的。对于windows程序员来说,WinDbg调试器就是我们的武器。熟练使用调试器能大大提高我们的
nachos源码阅读(内存管理)-2 ReadMem()
zzxiaopengyou
04-30 2132
ReadMem(int addr, int size, int *value)传入下一条指令地址,每次读取字节数,存放指令位置 Translate(int virtAddr, int* physAddr, int size, bool writing) 传入虚拟地址,物理地址指针,每次读取字节数,读写权限,将虚拟地址addr翻译为物理地址,entry是虚拟机对应的页表项指针,用来保存查询记录 计算下一条指令的虚拟页号和偏移量 取出虚拟页 取出虚拟页对应的物理页 ...
windbg调试命令
weixin_34234829的博客
12-02 262
 #调试命令窗口  +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ #使用gflags.exe工具(在windbg所在目录下),让某个进程启动时,拉取windbg进行调试 如下截图:当名称为captcomm.exe的进程启动时,拉起windbg调试 也可通过脚本命令来实现: // 运行captco...
10 内存管理
最新发布
史D芬周
01-08 964
我们以32位的PTE为例,属性位P位标识当前页面是否有效,当CPU访问一个地址,其PTE的P位为0,此时就会产生缺页异常。缺页异常并非总是不利的,实际上,在Windows系统中,每秒都会发生缺页异常。正是通过这种异常机制,Windows才能够更有效地利用物理页资源。
使用WinDbg调试程序异常和死锁等问题
log103628的博客
08-14 254
一、在使用WinDbg调试之前,我们先使用VS的调试功能   1、文件 -> 打开 -> 文件 -> 打开Dump文件      2、调试 -> 选项 -> 调试 -> 符号 -> 添加该应用的.pdb所在的文件夹   3、使用 仅限托管 进行调试   正常情况下会执行到抛出异常的位置,并且显示异常详情。 二、WinDbg 下载路径:htt...
windbbg中如何把dump文件中的内存数据保存到文件
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
05-05 772
在看一个dump文件时发现有一个jpg图片的数据buffer的实际大小和参数中的大小不太符合。导致了0xc0000005的崩溃,所以我想把dump中的图片内存写到文件中,确认下图片是否是一个正常的jpg图片。 比如下面这个例子就是把从0x10de8c00开始的300个字节的内容写到d:\1111.jpg文件中。 .writemem d:\1111.jpg 0x10de8c00 L300 参考资料: .writemem (Write Memory to File) - Windows dr..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值