python symbol_python调用windbg分析dump

最新推荐文章于 2022-08-21 17:21:02 发布
最新推荐文章于 2022-08-21 17:21:02 发布
阅读量185 收藏
点赞数
文章标签: python symbol windbg symbol file

前言

崩溃系统上面的minidump需要快速定位崩溃点,由于量比较大,不可能人工一个个去看。秉着机械化的操作让机器去做的准则,调用windbg自带cdb来完成需求。完成的效果还不错,现在发出来让有同样需求的同学。

cdb是什么

cdb是windbg工具集里面的一个工具,可以用于命令行模式调用windbg来调试
微软的文档有说明

CDB Command-Line Options - Windows drivers​docs.microsoft.com
v2-20ef38870667e71aeabbc54da52663b7_ipico.jpg
cdb [ -server ServerTransport | -remote ClientTransport ]
[ -premote SmartClientTransport ] [-log{a|au|o|ou} LogFile]
[-2] [-d] [-ddefer] [-g] [-G] [-hd] [-lines] [-myob] [-bonc]
[-n] [-o] [-s] [-v] [-w] [-cf “filename”] [-cfr “filename”] [-c “command”]
[-robp] [-r BreakErrorLevel] [-t PrintErrorLevel]
[ -x{e|d|n|i} Exception ] [-x] [-clines lines]
[-i ImagePath] [-y SymbolPath] [-srcpath SourcePath]
[-aExtension] [-failinc] [-noio] [-noinh] [-noshell] [-nosqm]
[-sdce] [-ses] [-sicv] [-sins] [-snc] [-snul] [-zp PageFile]
[-sup] [-sflags 0xNumber] [-ee {masm|c++}]
[-e Event] [-pb] [-pd] [-pe] [-pr] [-pt Seconds] [-pv]
[ – | -p PID | -pn Name | -psn ServiceName | -z DumpFile | executable ]
[-cimp] [-isd] [-kqm] [-pvr] [-version] [-vf] [-vf:] [-netsyms:{yes|no}]
cdb -iae
cdb -iaec KeyString
cdb -iu KeyString
cdb -QR Server
cdb -wake pid
cdb -?

本例子用到的命令如下:
-z dmp文件路径,如:”d:dumptest.dmp”
-y 符号路径,如:”srvf:symbolshttps://msdl.microsoft.com/download/symbols"
-c windbg的命令,如:”!analyze -v”

其他用法请参考微软文档。

python脚本

# -*- coding: UTF-8 -*-

直接用就能输出分析后的内容,首次加载符号表可能会有点慢请稍等。

python
weixin_39694016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Pykd——Python extension for WinDbg
n1ghtSir的博客
09-21 3912
在使用windbg脚本的时候,感觉很不方便。有时候想根据断点触发时的栈信息判断是否需要继续,但是没法定义变量来获取那些值,即便使用$tn和$un之类的伪变量获取那些值也很难进行复杂的判断或者运算。所以还是需要有更灵活的语言来辅助,所以找到了Pykd,虽然Immunity可以取代它,但有时不得不用windbg,接下来就让我们来学习下这个插件。 一、安装 从官网(https://pykd.
python dump_python调用windbg分析dump
weixin_39747755的博客
12-03 459
前言崩溃系统上面的minidump需要快速定位崩溃点,由于量比较大,不可能人工一个个去看。秉着机械化的操作让机器去做的准则,调用windbg自带cdb来完成需求。完成的效果还不错,现在发出来让有同样需求的同学。cdb是什么cdb是windbg工具集里面的一个工具,可以用于命令行模式调用windbg来调试微软的文档有说明CDB Command-Line Options - Windows drive...
windbg支持python调用,自动分析rootkit
12-13
Windows 7, 64bit Download pykd.zip from https://github.com/corelan/windbglib/raw/master/pykd/pykd.zip and save it to a temporary location on your computer Check the properties of the file and "Unblock" the file if necessary. Extract the archive. You should get 2 files: pykd.pyd and vcredist_x86.exe Run vcredist_x86.exe with administrator privileges and accept the default values. Copy pykd.pyd to C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x86\winext Open a command prompt with administrator privileges and run the following commands: c: cd "C:\Program Files (x86)\Common Files\Microsoft Shared\VC" regsvr32 msdia90.dll (You should get a messagebox indicating that the dll was registered successfully) Download windbglib.py from https://github.com/corelan/windbglib/raw/master/windbglib.py Save the file under C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x86 ("Unblock" the file if necessary) Download mona.py from https://github.com/corelan/mona/raw/master/mona.py Save the file under C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x86 ("Unblock" the file if necessary)
python for windbg
boywhp的专栏
06-05 1091
https://pykd.codeplex.com/
PyExt:适用于PythonWinDbg扩展
05-28
适用于PythonWinDbg扩展 当调试CPython解释器时,此调试器扩展提供Python对象和堆栈跟踪的可视化。 它有助于转储文件的实时调试和事后分析。 该项目的目标是在WinDbg / CDB / NTSD中提供与的类似的调试体验。 目前,该扩展程序已针对Python版本2.7、3.3、3.4、3.5、3.6、3.7和3.8的32位和64位版本进行了测试。 安装 从源代码构建或从“发行”页面下载二进制文件 将适当位数的pyext.dll复制到<WINDBG> <BITNESS> winext 确保您已安装Microsoft Visual C ++ 2017可再发行组件 扩展指令 !pystack 显示当前线程的Python调用堆栈。 用法示例: 0:000> !pystack Thread 0: File "C:\Python36\lib\threa
命令行启动windbg.zip_UBB4_information963_windbg_windbg 启动_命令行 ;dump
09-23
接着,我们关注一下“ubb4 information963”和“windbg_启动_命令行_;dump”。这可能是某种特定情境或任务的代号,具体含义可能需要根据上下文来理解。在一般情况下,";dump"可能暗示着我们要处理的是内存转储...
windbg-x64 dump分析工具
01-16
Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却...它的另外一个用途是可以用来分析dump数据。
windbg_js_scripts:玩WinDbg JS API的玩具脚本
05-28
WinDbg中,加载config.xml文件并保存设置: 0:000> .settings load \path\to\windbg_js_scripts\config.xml[...]\windbg_js_scripts\config.xml has been loaded successfully.0:000> .settings saveSettings ...
cvi调用其他exe_python调用windbg分析dump
weixin_34505326的博客
12-31 212
前言崩溃系统上面的minidump需要快速定位崩溃点,由于量比较大,不可能人工一个个去看。秉着机械化的操作让机器去做的准则,调用windbg自带cdb来完成需求。完成的效果还不错,现在发出来让有同样需求的同学。cdb是什么cdb是windbg工具集里面的一个工具,可以用于命令行模式调用windbg来调试微软的文档有说明CDB Command-Line Options - Windows drive...
用于windbg检查堆是否被破坏的python脚本
十八进
05-08 1146
需要安装pykd import sys from pykd import * def check_heap(): heapliststring = dbgCommand('!heap') for heapstring in heapliststring.split('\n'): if heapstring.find(':') == -1:    contin
windbg dump 批量分析
hziee_的专栏
11-22 968
@echo off for %%i in (*.dump) do windbg -y "..\..;SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols" -i "..\.." -logo %%i.log -c ".ecxr; k 30; vertarget; lm; q" -Q -WX -z %%i -y s
windbg扩展python脚本
nethm的专栏
09-21 1510
我们都知道windbg可以使用扩展命令,扩展命令的实现是通过动态加载扩展的DLL文件。命令格式为![扩展模块名字].[参数],系统已经帮助我们加载了好多扩展模块, 比如调试网络的ndiskd.dll ,64位windbg调试32程序的wow64exts.dll 。 同样我们也可以使用自己的扩展模块,比如python脚本,这样以来就可以对PEB 线程 堆栈进行一些复杂的操作,windbg+灵
使用windbg进行内核调试
lirunling的博客
06-06 4852
1.因为内核调试涉及到的是windows系统,所以只能在windows上运行,首先安装xp虚拟机;2.然后配置boot.ini文件,由于boot.ini文件在xp系统中是被隐藏的,所以需要先取消xp的隐藏文件夹选项,具体步骤:1)打开的“我的电脑选项”-&gt;选择“工具”中的“文件夹选项”2)打开之后选择“查看”,勾选“显示所有文件和文件夹”之后就可以在c盘根目录下找到boot.ini文件,或者...
利用windbg分析程序崩溃生成的dmp文件
whl0071的专栏
08-21 1846
利用windbg分析程序崩溃生成的dmp文件
Windbg入门
dongjiwo6466的博客
08-10 796
注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。这两部分很重要的。 0×1 程序代码 为了整体掌握windbg的调试流程。本文实例采用自己编写。好处是可以更为主动的熟悉windbg的调试命令,更加直观的查看windbg的显示结果。 0×2 windbg调试入口 打开windbg,点击:File->Open Executable,选中编译好的exe文件。...
windbg 使用python寻找寄存器的值
linux_vae的专栏
08-24 1056
1.推荐一个插件blwdbgue.dll 用来标记相同地址或者寄存器安装pykd,具体可以参照其他博客上次写到利用非挥发性寄存器寻找一些参数或者变量:windbg 调试bug因为每个函数调用修改非挥发性寄存器都会push和pop,所以我们利用python来找到那个帧里面修改了寄存器。from pykd import * from sys import argvkbn=dbgCommand('kbn'
编写immunity debugger插件
thesum的专栏
05-05 944
__VERSION__ = '2.0' __REV__ = filter(str.isdigit, '$Revision: 557 $') __IMM__ = '1.8' __DEBUGGERAPP__ = '' arch = 32 win7mode = False # try: #     import debugger # except: #     pass try:
用于windbg转换十六进制字符串的python脚本
十八进
06-10 769
import sys from pykd import * def strtohex(str):         hex_str = ""         detail_str = ""                  for ch in str:             hex_ch = hex(ord(ch)).replace('0x', '')          
python调用windbg分析dump
最新发布
05-12
可以通过Python调用WinDbg进行dump文件的分析。 首先,需要安装WinDbg,并将WinDbg添加到环境变量中。 然后,在Python中使用subprocess模块调用WinDbg,例如: ```python import subprocess # 指定dump文件路径...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值