《逆向工程实战》--windbg相关学习记录

最新推荐文章于 2021-04-12 16:03:28 发布
最新推荐文章于 2021-04-12 16:03:28 发布
阅读量698 收藏 1
点赞数
分类专栏: 逆向学习、病毒分析之路 文章标签: windbg 逆向工程实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/userpass_word/article/details/86476849
版权
这篇我主要记录一些windbg的常用命令,在书中都可以找到这些知识点,就是记录下,防止自己在使用过程中有时记不起来自己想用的命令是什么。t(F11)--step intop(F10)--step overgu(shift+F11)--go up,执行到当前函数直到结束,返回到调用者g(F5)--go,恢复程序执行~命令可以列出所有线程使用-o参数调试某路径下进程...
摘要由CSDN通过智能技术生成

这篇我主要记录一些windbg的常用命令,在书中都可以找到这些知识点,就是记录下,防止自己在使用过程中有时记不起来自己想用的命令是什么。

t(F11)--step into
p(F10)--step over
gu(shift+F11)--go up,执行到当前函数直到结束,返回到调用者
g(F5)--go,恢复程序执行

~命令可以列出所有线程

使用-o参数调试某路径下进程

可以使用sx命令列出所有事件

通过下面命令可以控制事件/异常的处理方式:

sxe event--为某个事件打开断点
sxd event--为某个事件关闭断点
sxr event--只为某个事件打开输出
sxi event--忽略某个事件

命令sxe或sxd非常有用的用途就是捕获模块的加载或卸载。进行内核调试的时候,想要在某个驱动程序或者dll加载的时候停下调试器,可以使用如下命令:

最低0.47元/天 解锁文章
ATree、063
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
调试实战 | 通过转储文件分析程序无响应之使用 windbg + IDA 逆向
12-21 968
程序无响应,而且cpu占用率很低,可以考虑死锁的可能性。本文是在实际开发过程中遇到的一个很典型的死锁。而且排查过程很有意思,既使用了windbg的内存搜索功能,又利用了IDA强大的逆向能力,尤其是F5,太香了。
windbg 基础命令实战 - 简单程序破解
weixin_30394981的博客
08-05 154
以前玩游戏遇到一些实在过不去的管卡,经常会找一些游戏修改软件来修改游戏,让自己变得无比强大,将boss一路砍瓜切菜过足游戏瘾。其实游戏修改软件的功能大多都比较简单,我们可以通过windbg的一些简单命令同样也可以实现。 在这片文章中我们会通过一个简单的winform登录程序来演示将一系列简单调试命令联合运用,破解登录程序。 测试程序 登录程序界面 登录验证代码 private v...
ret-sync插件:windbg/ollydbg+ida逆向调试神器
lixiangminghate的专栏
07-15 4214
ida有不少主流调试器的扩展插件,如windbg/gdb等,可以在静态分析的基础上动态调试二进制文件。可是众多调试器扩展中没有兼顾ollydbg,难免觉得是一项缺憾。 最近在github上发现一个插件:ret-sync,不仅弥补了ida对ollydbg支持的空白,还额外支持x64dbg/lldb等调试器: 使用插件前的准备工作 1.虽然作者建议使用vs2017生成插件,但...
windbg调试小技巧
chen50130的专栏
11-12 970
1.生成dump文件 使用adplus.exe 抓取dump文件 hang模式: adplus -hang -pn xxx.exe -o c:/dumps              //当进程进程运行时生成dump crash模式 adplus -crash -pn xxx.exe -NoDumpOnFirst -o c:/dumps  //first chance second cha...
windbg调试---基本命令
windows 驱动 反汇编 逆向
03-24 2931
d族命令:显示变量的命令:dda-----ASCII characters.Db----Byte values and ASCII characters.dc-----Double-word values (4 bytes) and ASCII characters.dd----Double-word values (4 bytes).dD----Double-prec
bruce-li-windbg
11-04
《深入探索Bruce-Li-Windbg:Windows调试利器》 在Windows操作系统中,进行系统级调试是一项技术性强、挑战性大的工作。 Bruce-Li-Windbg是一款强大的Windows调试工具,它在Win7、Win10乃至最新的Win11环境下都表现...
Python-TWindbg用于WinDbg类似于PEDA的调试器debugger
08-10
这种结合不仅提高了调试效率,还降低了学习曲线,使得熟悉PEDA的开发者能快速上手WinDbg。 在Python-TWindbg中,你可以找到以下主要功能: 1. **增强的命令行交互**:Python-TWindbg提供了命令行快捷方式,使得在...
使用VS2019编译edk2文章配套资源包-UEFI-QEMU-Windbg
最新发布
05-17
内容摘要: 亲测可用的 VS2019 编译 edk2 UEFI 工具包,详细步骤参考 ... 适合人群: 初次接触 UEFI 开发工作的工程师 能学到什么: 1、搭建 edk2 编译开发环境 2、在 Windows 平台上调试 UEFI 的工具 阅读建议: ...
windbg-info:与使用和改进windbg相关的链接的集合
05-12
该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列表中。 WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析.net SOS...
re-for-beginners 逆向工程入门指南
04-29
在进行逆向工程时,了解相关法律和遵循道德规范至关重要。 9. **工具链**:逆向工程中的工具链包括ida、ollydbg、radare2、ghidra等,它们提供了从反汇编、调试到分析的一整套解决方案。 10. **实践与案例研究**:...
逆向——windbg调试Unable to insert breakpoint
u013724573的专栏
07-17 871
Unable to insert breakpoint 1 at 323a3132, Win32 error 0n299 "仅完成部分的 ReadProcessMemory 或 WriteProcessMemory 请求。 解决办法: 1、检测符号路径:srv*c:\mss*http://msdl.microsoft.com/download/symbols 2、删除现有断点:
[调试逆向] 学会使用windbg定位程序bug
weixin_30298497的博客
08-07 79
学会使用windbg定位程序bug - 转载于:https://www.cnblogs.com/zhehan54/p/9436629.html
IDA+windbg调试设置
lixiangminghate的专栏
09-11 7788
    心血来潮想到做crackme来练练手,只借助IDA吧,很难跟踪程序运行过程中的数据;只借助windbg吧,没法修改变量名。开着IDA边改函数名,边根据代码偏移在windbg中定位实在很低效,所以我想有没有什么办法能把两者结合起来?最后在hex-ray.com上找到了解决方案:<Debugging Windows Applications with IDA Windbg Plugin&...
编写windbg调试器扩展 高级篇
lixiangminghate的专栏
08-15 1369
其实,前面几篇文章已经可以写出一个调试器扩展,但是编写这样的调试器扩展,其所能提供的功能并不比windbg脚本多。通过这篇文章,我希望大家能从中了解一些调试器扩展所特有的能力(要不然还费神写什么代码)。      进阶篇中曾经提到过一个不怎么起眼的类:IDebugClient,当时我介绍说这个类的作用是"用户输入的来源和命令输出的目标"。这句话没错,当然更确切的定义还是需要读者移步到MSDN查阅
Windbg对windows api调用的逆向分析
weixin_34082177的博客
01-13 220
用内核的调试方式去调试虚拟机 !process 0 0 winlogon.exe .process /p 817152a8 切换进程 .reload /f /user 加载用户态的符号 .reload /f c:\my.dll=8e0000,28000 加载自定义的模块,用于查看内部的数据结构(dt命令) .process /i /p 817152a8 非入侵式的attach Bu,b...
IDA与windbg分析.dll库文件
weixin_45799954的博客
04-12 2144
windbg与IDA分析库文件IDA与windbg分析.dll库文件定位 IDA与windbg分析.dll库文件 IDA打开.dll库文件 用windbg attach到指定某一进程(File->attach to a process),打开进程后会可在(Debug->modules)看到该进程用了那些.dll库文件 IDA:修改基址让.dll库的地址与windbg保持同步(IDA:Edit->segments->Rebase program,Windbg:Debug->m
从零开始学IDA逆向(中)1
08-03
"这篇教程是关于从零开始学习IDA逆向工程的中篇,涵盖了Windbg的安装配置、lm命令的使用、DEP(数据执行保护)和代码植入的介绍,以及ROP(返回导向编程)的实践。同时,还讲解了如何在启用DEP的情况下进行SEH(结构化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值