windbg寄存器指令——rM

最新推荐文章于 2022-12-01 10:42:41 发布
最新推荐文章于 2022-12-01 10:42:41 发布
阅读量5.7k 收藏 3
点赞数
分类专栏: 内核、rootkit、底层 文章标签: windbg 处理器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyangbotianshi/article/details/39621457
版权
windbg中直接输入r是转储常用的寄存器的值:
kd> r
eax=00000001 ebx=ffdff980 ecx=8054bd4c edx=000002f8 esi=00000000 edi=1aa78a2c
eip=80528bdc esp=8054abd0 ebp=8054abe0 iopl=0         nv up ei pl nz na po nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00000202
rM num则是根据num的值转储指定的寄存器值,num是8位掩码值。
kd> rM 1
eax=00000001 ebx=ffdff980 ecx=8054bd4c edx=000002f8 esi=00000000 edi=1aa78a2c
eip=80528bdc esp=8054abd0 ebp=8054abe0 iopl=0         nv up ei pl nz na po nc
可以看到1转储的寄存器和r指令差不多,只是减少了段寄存器和efl标志寄存器,而rM 2也是一样的结果
最低0.47元/天 解锁文章
Traxer
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDbg学习笔记五 - 内存,寄存器
imJaron的博客
11-03 1263
WinDbg也提供了一系列命令来访问内存跟寄存器。 以之前调试的程序状态为例,来演示几个常用的命令。 开始之前先介绍命令?,用来查看符号的值。比如?speed,则会显示出speed的值,即它的地址。 左边是10进制的值,右边是16进制。可以看到当前的地址是0133f9b8. 输入db 0133f9b8, 按字节来查看该地址的值。 或者dw
使用WinDbg —— .NET篇 (二)
ecjtu_luowei的专栏
03-14 2598
WinDBG作为Microsoft的御用工具,其强大之处使我这等小辈难以望其项背,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、dump文件调试、远程调试等。其灵活性和可扩展性能极大满足调试要求。所以对于WinDBG,读者非常有必要花费一些业余时间来学习研究。
WingDbg_v1.0双机调试看不到寄存器_调试_windows_windbg_
10-01
解决win10下windbg无法显示寄存器的BUG,老外写了一个补丁的扩展。下载编译好的wingdbg.dll,放windbg相同目录下,执行!wingdbg.regfix,重新打开寄存器窗口就OK了。
Windbg 内核调试,寄存器窗口没有数据
sxr__nc的博客
07-16 1872
之前在使用Windbg进行内核调试的时候,想要查看寄存器的值,结果发现打开寄存器窗口之后,不显示数据,但是执行r命令可以正常查看寄存器的值,网上搜索了一下相关资料,记录一下。 环境:Windbg.exe Windows10 x64 也是在网上抄袭来的,原链接如下: https://blog.csdn.net/forchoosen/article/details/107074378(博客链接) https://github.com/mbikovitsky/WingDbg(Git原始链接) 下载之后,将
IDE : Windbg操作整理
谢绝留言与私信
05-06 2838
行数指示 bl 看见断点列表后, 源文件的行号要打开该源文件, 将光标挪到该源文件, 看状态栏的行数指示. 反汇编地址 u module!function L长度 u 地址 L长度 反汇编该地址, 反汇编内容的长度为制定长度 反汇编函数 uf moudle!function 反汇编该函数, 指定模块函数符号名或直接指定地址 kd> uf n
windbg使用教程
最新发布
qq_36314864的博客
12-01 2934
windbg使用教程
windbg常用命令总结
萧戈的专栏
06-20 3124
    命令                           解析 !process 0 0                显示所有进程 !dt _EPROCESS 地址          所有进程的EPROCESS信息 !process 地址               显示进程的关键信息 !token                      查看访问令牌的有关信息 !ha
windbg常用指令(工作经验总结)
sanganlei的博客
05-27 620
一、windbg双机联调之驱动源码调试 1、通过VirtualKD设置好双机联调环境 2、在驱动程序的入口点DriverEntry下断点,命令: bm ranet!driverentry 备注:一定要用bm延迟加载符号命令,不能用bp 1: kd> bm ranet!driverentry 1: fffff880`03c4bcdc @!"RaNet!DriverEntry" 1: kd> g 3、把驱动程序拷贝到虚拟机中,利用工具InstDrvx64 V1.03安装并启动.
gs寄存器
qq_23484921的博客
12-23 4445
今天写攻击的时候触发了栈保护,看了一下汇编代码,发现canary放在一个gs:0x14的地方,不过查了gs内的值发现里面存放的是0x0。 后来查资料发现它是不用这个值的,而是用的宏MSR_GS_BASE。
2.CPU基础
weixin_30307267的博客
01-31 89
2.4.2 标志寄存器 DF(Direction flag) 方向标志,为1时使用字符串指令每次操作后递减变址寄存器(ESI和EDI),为0时递增. CF位可以由STC和CLC指令来设置和清除,DF位可由STD和CLD指令来设置和清除(ST:set,CL: clear) 随意写段代码测试: __asm { pushad int 3 CLC ...
windbg常用调试命令和控制命令
一介渔夫
10-16 9849
1.配置符号 .sympath : 指定符号路径 例如 .sympath c:\windows\symbos 此外我们还可以指定微软的符号服务器,在需要的时候自动下载 .sympath "SRV* http://msdl.microsoft.com/download/symbols"  2.创建日志文件 0: kd> .logopen d:\test.log Opened log fil
14.windbg-k、u、x(堆栈查看、汇编查看、函数查找)
热门推荐
hgy413的专栏
05-14 2万+
kk*命令显示给定线程的调用堆栈,以及其他相关信息~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0007ff1c 010125e9...
WinDbg分析解决Internet Explorer崩溃一例(图文详解)
Jinhill's Blog
08-03 7386
<br />通过本文,您将了解到:<br />  lIE浏览器产生崩溃的几类原因<br />  l为什么发送错误汇报之后得到的官方反馈链接不能够帮助彻底解决崩溃问题<br />  l发送给微软的错误汇报里面都是什么内容<br />  lWinDbg调试程序的进阶使用以及相关命令<br />  l如何鉴别动态链接库文件是否真正为微软公司发行以及真文件的几点特征<br />  l解决IE崩溃的基本分析思路<br /> <br /> <br /> <br />    本月22日,一个名叫“120”的朋友在Wind
Windows保护模式(一)段寄存器&GDT表
sky123博客
10-08 2308
段式内存管理是将内存划分成若干段,处理器在访问一个内存单元时通过“段基址+偏移”的方式计算出实际的物理地址。 在Intel x86处理器中,有专门的段寄存器,指定每条指令在访问内存时指定在哪个段上进行,以及该段的长度,读写属性,特权级别等。段式内存管理与页式内存管理关系如下图。 Windows采用了页式内存管理方案,在Intel x86处理器上,Windows不使用段来管理虚拟内存,但是,Intel x86处理器在访问内存时必须要通过段描述符,这意味着Windows将所有的段描述符都构造成了从基地址0开始
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值