windbg 命令_从堆里找回“丢失”的代码相关命令简介

最新推荐文章于 2021-09-24 10:54:48 发布
最新推荐文章于 2021-09-24 10:54:48 发布
阅读量159 收藏
点赞数
文章标签: windbg 命令

前言

在上一篇文章中,我们主要使用了三个命令 !addresss.writemem 把丢失的代码成功的保存到了文件中。本文简单介绍一下上文用到的这三个命令。

windbg 中的地址范围语法

很多命令都会用到 地址范围。比如 s 命令,.writemem 命令。

windbg 中可以通过两种形式指定地址范围。起始地址 L长度 或者 起始地址 终止地址。在上一篇文章中,我们使用的是 起始地址 终止地址 的形式。我们也可以使用用 起始地址 L长度 的形式来指定一个范围。其中的 L 必不可少,而且,L 后面跟的是要查看的单位数量,不是字节数。比如,我们查看起始地址 0xc0000 处对应的内容,同样是L4,按字节(db),按四字节(dd)和按八字节(dq)查看,显示的内存范围是不一样的

eb8f4982514e8632c9aac099ad46c103.png
display-by-range

有两点需要注意:

  1. 如果搜寻的范围超过256MB,我们需要使用 L? ,而不是 L
  2. 我们可以使用 L- 表示给定的 address 是终止位置,而不是起始位置。
cf10f5866980659350e64e1b047a4163.png
range-specifier

!address 命令

该命令可以用来查看指定地址对应的信息,也可以用来查找过滤。在之前的文章里使用 !address 查看过某个地址对应的信息。上一篇文章中我们主要使用的是这个命令的查找过滤功能(通过  -f 参数,ffilter 的缩写)。

  • 我们可以根据用途过滤,具体参考下表。
b935e50b24a11cbd28f6a1bf39346b8c.png
filt-by-memory-usage
  • 还可以根据内存保护属性过滤,具体参考下表。
26d3fb9f9750a548f05f9e729ac19066.png
filt-by-memory-protection
  • 还可以根据内存状态过滤,具体参考下表。
f835a74e8dd155fb788a6209be094c9d.png
filt-by-memory-status
  • 还可以根据内存类型过滤,具体参考下表。
cf944202605af7ed99a51be5e4da897f.png
filt-by-memory-type

-f 参数需要配合 -c:"command" 在查找的过程中执行对应的命令。

1b9c2718514a28f8b8fa9c446e4e3fec.png
option-c

s 命令

该命令可以用来查找符合特定模式的内存。sSearch Memory 的缩写。

s [-[[Flags]Type]] Range Pattern 
s -[[Flags]]v Range Object 
s -[[Flags]]sa Range 
s -[[Flags]]su Range 

这里仅截取 Type 的用法。更多用法请参考官方文档。

9f0c110368922a29d4b0cf47df2c4936.png
search-type

.writemem 命令

该命令比较简单,.writemem FileName Range

FileName :如果路径中有空格,需要使用 "" 引起来,这个应该是常识了。

Range :相关的语法已经在本文开始介绍了。

总结

我们在上一篇文章中用到的命令(!address -f:heap,PAGE_READWRITE -c:"s -u %1 %2 args.Contains(\"--all\")")的意思是:遍历可读写的堆内存,对每个内存区域调用 s 命令,搜寻匹配 args.Contains("--all")unicode 字符串。s 命令需要的地址范围是通过 !address 命令传递过来的 %1(起始地址) 和 %2(结束地址) 传递的。

参考资料

  • https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-address

  • https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-writemem--write-memory-to-file-

  • https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/address-and-address-range-syntax

  • https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/s--search-memory-

欢迎留言交流

需要你的 2b9746c588d3e11dfa611bdff11f0f5b.png

weixin_39862794
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windbg常用指令之四:虚拟内存操作指令
点点灵犀
06-26 1781
.dvalloc 申请虚拟内存 .dvfree 释放虚拟内存 .writemem 写内存到文件 .readmem 读文件到内存 !address 内存信息查看 !vprot 看虚拟内存保护属性 0:001> .dvalloc 1000 Allocated 1000 bytes starting at 01150000 0:001> !vprot 01150000 BaseAddr
NET调试:转储正在运行的托管代码过程中的所有字符串
04-07
从标签中,我们可以推断这个话题涵盖了多种技术领域:“ASM”可能指的是汇编语言,虽然.NET代码通常是高级语言,但有时需要深入到底层来理解性能问题;“C#”是最常见的.NET编程语言之一;“Win2003, Vista, WinXP, ...
WinDbg重建堆栈
BeanJoy的专栏
12-31 4882
某些情况下,抓取到dump分析到异常后,却发现堆栈并不对,不能有效的定位到程序崩溃的地方,这个时候就需要重建一下堆栈。
WinDbg手动修复堆栈
Sven的忘却日记
09-29 2556
栈被破坏了可一点都不好玩儿!尤其是当你在分析crash dump或者程序发生异常的时候,我猜首先要做的事,可能就是先查看一下儿堆栈调用。 但是发现当前线程的栈被破坏了,你的主要分析工具也无法显示堆栈,这可咋办哩? 尽管如此,有时候也可以修复被破坏的堆栈。我已经出了一些关于.NET和C++调试的教程,但是大家的要求,我也会再展示一个例子 .net 调试:http://sela.co.il/syl/s...
程序异常崩溃后用windbg辅助调试解决的经验 以及 堆栈问题调试经验
qq_38472451的博客
08-23 115
程序异常崩溃后用windbg辅助调试解决的经验 以及 堆栈问题调试经验
Windbg 脚本命令简介
whatday的专栏
02-05 2893
r: registers的简写,可以显示或修改寄存器的值、浮点寄存器的值、定义别名变量。 可以显示当前线程下的寄存器值。 The r command displays or modifies registers, floating-point registers, flags, pseudo-registers, and fixed-name aliases.   0:000> ~2 r
USBqudong.zip_driverstdio_ncxus one usbqudong_usb001.sys
09-24
"ncxus_one"可能是一个特定的命名约定或代码库的标识,而".sys"扩展名表明这是一个系统驱动程序文件,适用于Windows操作系统。 编写自定义USB驱动需要深入理解USB协议栈和Windows驱动模型(WDM)或通用驱动模型...
Windows 驱动高级调试
07-17
4. **分析内存和寄存器**:利用WinDbg的内存读取(`dd`或`dv`命令)和寄存器查看(`r`命令)功能,检查可能出错的数据或指令。 5. **跟踪调用链**:通过`kb`命令查看调用堆栈,了解函数调用顺序,帮助定位问题源头...
dump相关文章 dump相关文章
12-20
本文将深入探讨dump文件的相关知识,包括其作用、类型、分析方法以及如何生成和使用。 一、dump文件的作用 1. 错误诊断:当应用程序或操作系统出现异常崩溃时,dump文件能记录下当时的内存状态,帮助开发者定位问题...
生成DUMP文件的库
07-25
heap`命令可以检查堆的状况,`!analyze -v`提供详细的崩溃分析报告。 7. **其他扩展命令**:`windbg`有许多扩展命令,如`!livekd`(用于远程调试)、`!threads`(查看所有线程)等,可根据具体需求选择使用。 在...
windbg中memory查找以及写到文件
jtujtujtu的专栏
12-05 5926
在Debug Driver时,我们经常需要用到kernel debug来抓取LOG,但是如果没有Kernel Debug,如何来抓取Debug LOG呢? 方法之一就是将log写到内存,在BSOD时,抓取kerenl memory dump文件进行分析,这记录下这两个命令,用来查找内存块,写内存到文件。 1, !poolfind TAG 2, .writemem filename ra
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5292
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)中输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
Windbg堆内存
q6771020的博客
09-24 769
一般要查内存泄露在没有verify的情况下比较困难,特别是分析dmp无法调试的时候; 简单看看是哪个内存块重复分配很多次吧。 测试代码如下 int main() { char* pp = nullptr; while (1) { Sleep(1000); pp = new char[10000]; } return 0; } 第一步、内存泄露都是在堆上分配的内存,不管是malloc、realloc还是new,或者直接HeapAlloc都是专用内存。先查看堆信息 0:
计算机中丢失vba,win7系统下打开excel提示某个对象程序库vbaen32.olb丢失或损坏如何解决...
weixin_39802962的博客
07-28 1586
近日有win7系统用户在打开excel文件的时候,发现弹出一个对话框,显示某个对象程序库vbaen32.olb丢失或损坏。请运行安装程序,遇到这样的问题该怎么办呢,接下来给大家讲解一下win7系统下打开excel提示某个对象程序库vbaen32.olb丢失或损坏的具体解决方法。1、Excel打开vbaen32.olb损坏或丢失,用不到宏的话基本上可以忽略了直接还是能用,没其他影响;2、文件丢失了可...
WinDbg命令详解--内存操作
Arbboter的专栏
03-17 3866
分配内存指令:.dvalloc .dvalloc指令类似与VirtualAlloc函数。可以指定分配的大小、类型(MEM_RESERVE | MEM_COMMIT)(加上参数 / r,申请的内存类型为MEM_RESERVE。默认为MEM_COMMIT)、起始地址(加上参数 / b) 使用.dvalloc分配的内存都是PAGE_EXECUTE_READWRITE属性 释放内存指令 :
基础调试命令 - .dump/.dumpcap/.writemem/!runaway
weixin_30516243的博客
07-13 278
Windbg是windows平台上强大的调试器,它相对于其他常见的IDE集成的调试器有几个重要的优势, Windbg可以做内核态调试 Windbg可以脱离源代码进行调试 Windbg可以用来分析dump文件 Windbg支持丰富的调试扩展 以下是一些windbg安装和使用相关的文档, Installing and Configuring WinDbg (Windows De...
如何利用Visual Studio 和 Windbg把内存的二进制数据导出到文件
omage的专栏
01-16 3079
好久没来CSDN更新博客了,再不来估计就野草丛生,荒无人烟了。 开发中需要把一大段内存的二进制数据导出来,发现Visual Studio 没这个功能。自己摸索了一阵,弄出一个这样的方法,与大家分享下。 1. 用Visual Studio 调试程序 2.在程序中计算要导出的内存起始地址和结束地址 3.打开windbg, 点击File->Attach to a process
windbg调试命令
blacet的专栏
11-05 5527
windbg调试命令  #调试命令窗口  +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ #使用gflags.exe工具(在windbg所在目录下),让某个进程启动时,拉取windbg进行调试 如下截图:当名称为captcomm.exe的进程启动时,拉起windbg调试 也可通过脚本命令来实现: ...
windbg调试命令9(dt、d)
v5browser
04-12 292
dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。 0:kd>dt_PEB nt!_PEB +0x000InheritedAddressSpace:UChar +0x001ReadImageFileExecOptions:UChar +0x002BeingDebugged:UChar +0x003SpareBool:UChar +...
windbg 命令 msdn
最新发布
08-17
综上所述,Windbg 命令与 MSDN 相关,开发者可以借助 Windbg 命令来调试应用程序,并通过 MSDN 上的相关文档来了解和学习如何正确使用这些命令。这样可以提高调试的效率和准确性,帮助开发者更好地解决应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值