windbg 学习----#(从反汇编中搜索符合指定模板的数据)

最新推荐文章于 2019-11-25 16:47:22 发布
最新推荐文章于 2019-11-25 16:47:22 发布
阅读量136 收藏
点赞数
原文链接:http://www.cnblogs.com/hgy413/p/3693395.html
版权
语法

# [Pattern] [Address [ L Size ]] 

参数
Pattern 指定用于在反汇编代码中搜索的模板。 Pattern可以包含各种通配符和修饰符。关于该语法的更多信息,查看 字符串通配符语法。如果在 Pattern中包含空格,需要将模板用引号括起来。模板是不区分大小写的。如果之前使用过 #命令,并且省略掉 Pattern ,该命令会使用上一次的模板。 Address 指定搜索开始的地址。该语法的更多信息,查看 地址和地址范围语法Size

指定要搜索的指令数量。如果省略掉Size ,会一直搜索直到遇到匹配项。 

0:000> u
ntdll!LdrpDoDebuggerBreak+0x2c:
773d054e cc              int     3
773d054f 8975fc          mov     dword ptr [ebp-4],esi
773d0552 eb0e            jmp     ntdll!LdrpDoDebuggerBreak+0x40 (773d0562)
773d0554 33c0            xor     eax,eax
773d0556 40              inc     eax
773d0557 c3              ret
773d0558 8b65e8          mov     esp,dword ptr [ebp-18h]
773d055b c745fcfeffffff  mov     dword ptr [ebp-4],0FFFFFFFEh
0:000> # *Ldr* 773d054e 
ntdll!LdrpDoDebuggerBreak+0x30:
773d0552 eb0e            jmp     ntdll!LdrpDoDebuggerBreak+0x40 (773d0562)
0:000> # *push* 773d054e 
ntdll!LdrpInitializeApplicationVerifierPackage+0x2:
773d056f 55              push    ebp


转载于:https://www.cnblogs.com/hgy413/p/3693395.html

weixin_30316097
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
机器指令汇编表(文)
02-01
机器代码与汇编助记符及其参数的快速查找表
windbg-cheat-sheet:我使用WinDbg进行内核调试的个人备忘单
04-27
内核调试和WinDbg备忘单我使用WinDbg进行内核调试的个人备忘单。 当我使用WinDbg进行新操作时,本备忘单/迷你指南也会更新。内核调试设置安装调试工具要使用windbg,您必须安装。 我建议从Windows应用商店安装Windbg...
WinDbg数据搜索技巧 ---《格蠹汇编-从堆里抢救丢失的博客》
weixin_33860722的博客
06-20 210
原文作者是从堆里面寻找丢失的博客文章,在这里我模拟的环境是从gvim编辑器里面寻找一段文字的地址 强大的!address命令 !address -summary可以显示进程空间内存使用情况的摘要 0:003> !address -summary Mapping file section regions... Ma...
56.windbg-s、#(搜索字符串、地址、汇编
hgy413的专栏
07-16 1万+
s(Search Memory) s 命令搜索内存查找指定模板 1.  寻找内存泄露的线索。比如知道当前内存泄漏的内容是一些固定的字符串,就可以在     DLL 区域搜索这些字符串出现的地址,然后再搜索这些地址用到什么代码,找出这些      内存是在什么地方开始分配的。  2.  寻找错误代码的根源。比如知道当前程序返回了 0x80074015  这样的一个代码,但是不 
Windbg使用1-字符串通配
Yaogang's Small Shell
03-17 255
windbg我们经常会遇到字符串通配的问题。下面就这个问题介绍一下。 [list=1] [*]* 表示0或者更多任意字符 [*]? 表示1个任意字符 [*][] 表示指定字符列表的任意一个,在括号的连接符(-)表示区间,比如[1-9]表示1到9的区间 [*]# 表示匹配0个或者更多#前的字符,比如lo#p匹配lp lop loop loooop等 [*]+ ...
windbg-info:与使用和改进windbg相关的链接的集合
05-12
该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列表WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析.net SOS...
wdbgark:WinDBG Anti-RootKit扩展
02-06
WinDBG Anti-RootKit扩展 前言 是的扩展(动态库)。 它的主要目的是使用内核调试器查看和分析Windows内核的异常。 可以查看各种系统回调,系统表,对象类型等。 对于更用户友好的视图扩展,请使用DML。 对于...
WinDBG --win10
12-19
X64 Debuggers And Tools-x64_en-us.msi
windbg调试工具windbg-10.0.18.zip
10-24
windbg是Windows平台强大的软件调试利器,可以分析各种软件异常问题。 本压缩包是10.0版本的。
Windbg_11-Windbg汇编命令
qq_33168924的博客
11-25 2889
1.内容概要: 汇编命令概览: 汇编命令的使用: 1.1:windbg汇编系列的命令以u开头: u命令或者ub命令默认只会汇编出8条指令,加入查看更多可以使用以下方式: ​ u Address | count ​ Address: 可以是数值,也可以是变量,count指定显示的汇编的行数, 不指定的化默认为8行。 uf命令可以自动识别函数结尾,将整个函数汇编出来...
Windbg调试命令详解(3)
张佩的技术库
10-08 6066
3 进程与线程 既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程不可或缺。 3.1 进程命令 进程命令包括这些内容:显示进程列表、进程环境块、设置进程环境。 进程列表 多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。 竖线命令显示当前被调试进程列表的状态信息,这个命令在本章开头已作过介绍,命令格式如下: | [进程号] 请注意这里的定语:被调试进程列
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 8万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
Application Verifier使用起步
lixiangminghate的专栏
04-22 1万+
网上Application Verifier(以下称AppVer)关于的功能介绍已经很多,却鲜有介绍实际使用的文章(说真的,我很怀疑这些作者有没有用AppVeri测过程序),谨以此文总结我在使用过程遇到的问题和解决方法。
windbg调试---基本命令
windows 驱动 反汇编 逆向
03-24 2927
d族命令:显示变量的命令:dda-----ASCII characters.Db----Byte values and ASCII characters.dc-----Double-word values (4 bytes) and ASCII characters.dd----Double-word values (4 bytes).dD----Double-prec
WinDBG 技巧: 显示函数的汇编代码(uf 命令)
weixin_34137799的博客
02-25 188
WinDBG的 uf 命令可以把二进制进行汇编并显示汇编代码,帮助在没有源代码的情况下分析函数。 举个例子,已知Windows 下的扫雷程序(winmine.exe) 有个函数叫winmine!StartGame (通过 x winmine!*命令) ,可以使用uf winmine!StartGame 命令显示该函数的汇编码: 0:000> uf winmine!StartGamewin...
WinDBG查看函数的汇编代码的命令
weixin_34095889的博客
03-31 659
命令 ========== u . u $ip 上面的两个命令是效果是一样的, 汇编当前$ip地址上的8条命令. uf . uf $ip 上面两个命令的效果是一样的, 汇编当前$ip地址上的整个函数. ub . ub $ip 汇编$ip之前的8条指令. ub $ip L2a ...
我想在windbg查看 函数的汇编该如何操作
最新发布
06-02
要在Windbg查看函数的汇编代码,可以使用 "u" (unassemble) 命令。以下是一些基本的步骤: 1. 打开需要调试的程序并附加到Windbg。 2. 在Windbg输入 "u <函数名>" 命令,例如 "u kernel32!CreateFileW"。 3. Windbg会显示该函数的汇编代码。 4. 如果你想查看汇编代码的十六进制表示,可以使用 "uf" (unassemble function) 命令。 5. 如果你想查看指定地址的汇编代码,可以使用 "u <地址>" 命令,例如 "u 00401000"。 6. 如果你想在汇编代码显示符号名称而不是地址,可以使用 ".lines" 命令打开源代码行号显示。 希望这些命令能帮助你在Windbg查看函数的汇编代码。如果还有其他问题,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值