Windbg脚本的使用

最新推荐文章于 2023-04-11 19:39:38 发布
最新推荐文章于 2023-04-11 19:39:38 发布
阅读量646 收藏
点赞数
暂时先留着,以后深入研究
下条件断点:
bp User32!IsDialogMessageA ".if( poi( poi(esp+8) ) == 控件的句柄 and poi( poi(esp+8) + 4 ) == WM_LBUTTONUP ){}.else{gc}"

常见命令:
$exentry伪寄存器,数值上等于EP
$t0-$t19,WINDBG为我们提供了20个自定义的伪寄存器
R指令能改变几乎所有寄存器的值,包括EAX等
.dvalloc [/b] size 申请内存空间,带/b 地址,可在指定地址申请空间,不带则自动分配,指定地址时不一定成功,暂时的经验指定地址越大越容易成功。
e* 地址 在指定内存中写入数据,EW 写入WORD,EB写入BYTE,ED写入DWORD
注意: EW 00400000 12345会产生溢出错误,同理EB 00400000 123也是错的,正确的例子可见后面的代码
f 地址 L长度 BYTE 在长度的地址写入数据,你可以在示例中看到效果。同样BYTE的位置只能是BYTE,多于8位的数据都会造成溢出错误。
m 源地址 L源地址长度 目的地址 复制内存区域
d* 地址 显示地址中的数据,其中db的效果可在示例中看到。
.dvfree /d 地址 size 释放指定地址的内存,这里指定地址用的是/d要与 .dvalloc的/b相区别。
BP 地址或者函数名 "命令" 命令参数是可选的,存在的情况下,中断的同时会先运行那些命令。
J(条件表达式)'命令1';命令2  相当于.if但是又有点不同命令2只能是1个,后面所有命令会被忽略。
POI() 返回指针的指向位置的内容。
not 非                                    and或者&  与
hi()  取高16位                            or或者^   或
low()  取低16位                           xor或者|  异或
by()   取低8位                            gu  步出,不知道具体原理,有时会出错
wo()   取低16位                           t   步入
mod或者%  模运算


几个windbg脚本,拷到windbg安装目录下面,调试时可以在windbg命令窗口中输入
 
bpeax 用法      $$>< bpeax.txt  0  0x0`1        执行到eax为一个特定值时断下来
                      $$>< bpeax.txt  1  0x0`1        和上面类似,但是遇到函数调用会进到函数内部
 
bpcall 用法      $$>< bpcall.txt                      执行到call指令时停下
 
bpret  用法      $>< bpret.txt                         执行到ret指令时停下
  
// bpret.txt
.while(1) 
{ 
 p; 
 .if ( poi(@eip) & 0x0`ff ) = 0x0`C2 
 {
  .break
 } 
 .elsif ( poi(@eip) & 0x0`ff ) = 0x0`C3 
 {
  .break
 } 
 .elsif ( poi(@eip) & 0x0`ff ) = 0x0`CA 
 {
  .break
 } 
 .elsif ( poi(@eip) & 0x0`ff ) = 0x0`CB
 {
  .break
 }  
 .else 
 { 
  u eip L1 
 }
}
 
// bpcall.txt
.while(1) 
{ 
 p; 
 .if ( poi(@eip) & 0x0`ff ) = 0x0`9a 
 {
  .break
 } 
 .elsif ( poi(@eip) & 0x0`ff ) = 0x0`e8 
 {
  .break
 } 
 .elsif ( poi(@eip) & 0x0`ffff ) = 0x0`15ff 
 {
  .break
 } 
 .else 
 { 
  u eip L1 
 }
}
 
// bpeax.txt
.while(1)
{
 .if ${$arg1}
 {
  t;
 }
 .else
 {
  p;
 } 
 .if ( @eax & 0x0`ffffffff ) = ${$arg2}
 {
  .break
 } 
}
 

【2009-10-22】Create 

【2010-02-05】Modify



$$ [ C++ Runtime Error Script v0.1 ]
$$ <Made By SaunterCloud 2009.10.22>
ad *;
.cxr;
~0s;
aS ufLinkS "<u><link name=\\\"0x%.8X\\\" cmd=\\\".cxr 0x%.8X;kb;\\\">";
aS ufLinkE "</link></col></u>";
r $t0=@eax;
r $t1=@ebx;
r $t2=@ecx;
r @eax=1;
r @ecx=0;
.printf "\n\n\n\n";
.printf "*******************************************************************************\n";
.printf "*                                                                             *\n";
.printf "*                 [ C++ Runtime Error Script v0.1 ]                           *\n";
.printf "*                 <Made By SaunterCloud 2009.10.22>                           *\n";
.printf "*                                                                             *\n";
.printf "*******************************************************************************\n";
.printf "\n\n";
.foreach (placein {!findstack kernel32!UnhandledExceptionFilter 1;})
{
 .if (@@masm('${placein}'!='*'))
 {
  .if(@ecx==0)
  {
   ;
  }
  .elsif(@ecx==2)
  {
   r @ebx=poi(poi(${placein}+8)+4);
   .printf /D "Runtime Error Address: ${ufLinkS}0x%.8X${ufLinkE}\n",@ebx,@ebx,@ebx;
   r @ecx=@ecx+1;
  }
  .elsif (@ecx==4)
  {
   r @ecx=0;
  }
  .else
  {
   r @ecx=@ecx+1; 
  }
 }
 .else
 {
  r @ecx=1;
 }
}
r @eax=$t0;
r @ebx=$t1; 
r @ecx=$t2;
ad ufLinkS;
ad ufLinkE;






改:
$$ [ C++ Runtime Error Script v0.2 ]
$$ <Made By SaunterCloud 2010.02.05>

.cxr;
~0s;

r $t0=@eax;
r $t1=@ebx;
r $t2=@ecx;

r @eax=1;
r @ecx=0;

.printf "\n\n\n\n";
.printf "*******************************************************************************\n";
.printf "*                                                                             *\n";
.printf "*                 [ C++ Runtime Error Script v0.2 ]                           *\n";
.printf "*                 <Made By SaunterCloud 2010.02.05>                           *\n";
.printf "*                                                                             *\n";
.printf "*******************************************************************************\n";
.printf "\n\n";

.foreach (placein {!findstack kernel32!UnhandledExceptionFilter 1;})
{
 .if (@@masm('${placein}'!='*'))
 {
  .if(@ecx==0)
  {
   ;
  }
  .elsif(@ecx==2)
  {
   r @ebx=poi(poi(${placein}+8)+4);
   .printf /D "Runtime Error Address: <u><link name=\"0x%.8X\" cmd=\".cxr 0x%.8X;kb;\">0x%.8X</link></col></u>\n",@ebx,@ebx,@ebx;
   r @ecx=@ecx+1;
  }
  .elsif (@ecx==4)
  {
   r @ecx=0;
  }
  .else
  {
   r @ecx=@ecx+1; 
  }
 }
 .else
 {
  r @ecx=1;
 }
}

r @eax=$t0;
r @ebx=$t1;
r @ecx=$t2;



                

        

        

    

  


    

      

        

            

              
                
                  KHacker_001
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
windbg 脚本学习总结

				
			

			

				

					bcbobo21cn的专栏
				

				

					06-17
					
					1112
					
				

			

		

		

			
				
windbg 脚本简单入门
http://blog.csdn.net/superliuxing/article/details/19206985


在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,应用程序调试,远程调试,dump分析等于一身,真是杀人灭口必备利器。但是也由于其太过

			
		

	



                

              
                



	

		

			

				
					
WinDbg-Samples:WinDbg的示例扩展,脚本和API使用

				
			

			

				

					05-14
				

			

		

		

			
				
这是用于扩展WinDbg的扩展和示例脚本的集合。 随着时间的推移,我们将添加更多示例和扩展。
入门
要加载JavaScript扩展,请执行以下操作:
 在本地下载脚本文件。
 确保您具有WinDbg的最新版本-Microsoft Store中的版将始终是最新的。 否则,您可以使用列出的其他方法之一进行安装。
 开始调试会话。
 JavaScript扩展(JSProvider)应该会自动加载。 您可以通过运行.scriptproviders命令并检查列表中是否包含JavaScript来验证其是否已加载。 如果列表中没有JavaScript,请运行.load jsprovider
 运行.scriptload <path>或.scriptrun <path> 。 每个脚本的自述文件都有更详细的用法信息。
 我们在上提供了有关JavaScript支持的更多

			
		

	



                


  
              

                


	

		

			

				
					
windbg 脚本简单入门

				
			

			

				

					superliuxing的专栏
				

				

					02-14
					
					7399
					
				

			

		

		

			
				
标 题: 【原创】windbg
 脚本简单入门
作 者: evileagle
时 间: 2013-10-31,23:04:24
链 接: http://bbs.pediy.com/showthread.php?t=180879

在Windows调试器这个圈子里,Windbg作为微软的亲儿子,其名气可谓无人不知,就算你没用过,那你肯定也听说过。Windbg的功能自然不必说,集内核调试,

			
		

	





	

		

			

				
					
windbg调试技巧 使用脚本文件

				
			

			

				

					itmes的专栏
				

				

					07-22
					
					1642
					
				

			

		

		

			
				
Using Script Files

使用脚本文件

A
script file is a text file that contains a sequence of debuggercommands. There are a variety of ways for the debugger to load a script fileand execute it. A sc

			
		

	



		

			
		



	

		

			

				
					
Windbg  脚本命令简介

				
			

			

				

					whatday的专栏
				

				

					02-05
					
					2916
					
				

			

		

		

			
				
r:
registers的简写,可以显示或修改寄存器的值、浮点寄存器的值、定义别名变量。
可以显示当前线程下的寄存器值。
The r command displays or modifies registers, floating-point registers, flags, pseudo-registers, and fixed-name aliases.
 
0:000> ~2 r

			
		

	





	

		

			

				
					
执行脚本文件

				
			

			

				

					weixin_30932215的博客
				

				

					06-13
					
					275
					
				

			

		

		

			
				
1.把所有语句写在脚本文件的单行中,每个语句和命令之间用分号隔开,然后用$><等命令去运行脚本
2.在脚本文件中输入所有语句,每条语句占一行,然后使用$><等命令运行脚本,这些命令会打开脚本文件,用分号替换所有的回车符,然后把结果文件当作单一的命令块执行.


bu kernel32!LoadLibraryW "

as /mu ${/v:$dllname}...

			
		

	





	

		

			

				
					
Windbg简易使用指南

				
			

			

				

					Eif的专栏
				

				

					10-16
					
					678
					
				

			

		

		

			
				
1. 一般调试步骤
1.1 打开待调试的dump文件
1.2 加载符号
快捷键 Ctrl+S,输入以下内容,点选reload,确定
srv*f:\mysymbols*http://msdl.microsoft.com/download/symbols;cache*f:\mysymbols


其中 http://msdl.microsoft.com/download/symbols 是微软的符号服...

			
		

	





	

		

			

				
					
初次使用windbg 教程

				
			

			

				

					qq_38790628的博客
				

				

					03-24
					
					668
					
				

			

		

		

			
				
windgb 调试内存泄漏

			
		

	





	

		

			

				
					
dotnet 使用 windbg 运行脚本方式自动批量调试处理 dump 文件.rar

					
最新发布

				
			

			

				

					06-03
				

			

		

		

			
				
总的来说,`.NET` 开发者通过学习如何使用`dotnet` 命令行工具和`windbg` 脚本,可以更有效地诊断和修复应用中的问题,特别是在处理大量dump文件时,自动化处理能显著提高工作效率。提供的文档和教程资料将帮助你...

			
		

	





	

		

			

				
					
WinDbg_Scripts:使用调试器数据模型的WinDbg的有用脚本

				
			

			

				

					05-16
				

			

		

		

			
				
WinDbg_Scripts
 使用调试器数据模型的WinDbg的有用脚本
用法,示例,说明和常见问题(也可在此处以PDF格式获得):
  ,

			
		

	





	

		

			

				
					
Windbg使用手册.zip

				
			

			

				

					10-13
				

			

		

		

			
				
 - 使用脚本:通过`.cmdfile`加载自定义命令脚本,进行自动化分析。  这个压缩包中的"常用"可能指的是包含了一些常用的Windbg使用技巧和案例,对于深入理解和熟练运用Windbg至关重要。通过学习和实践,你可以更好地...

			
		

	





	

		

			

				
					
windbg脚本编写和调试

				
			

			

				

					joinpark的专栏
				

				

					04-11
					
					685
					
				

			

		

		

			
				
3.CreateFileW时如何查找a.txt并停下,同时未命中时输出全部文件名的脚本,64位。写一个脚本,例如写一个脚本1.txt,放在c:\tmp下。假设第一个指针是0x0a4db828。4.如何遍历指针->指针->指针。直接在windbg命令行里运行。2.如何下断点的时候执行脚本

			
		

	





	

		

			

				
					
如何写windbg高级脚本---以访问文件的windbg脚本为例说明

				
			

			

				

					weixin_34408717的博客
				

				

					10-03
					
					261
					
				

			

		

		

			
				
最近需要在访问指定文件时中断下来,但不知道如何下断,在网上搜索了一番无果,只好自己摸索了。听大侠说windbg的条件断点功能异常强大,可以实现,不禁心痒,特尝试一番,顺便熟悉一下windbg脚本语法。    先来了解简单的,得到当前访问的文件名  先写段C代码,创建C:\a.txt并往文件中写任意几个字符,代码如下:  HANDLEhFile=CreateFile...

			
		

	





	

		

			

				
					
Windbg实用手册(转)

				
			

			

				

					blacet的专栏
				

				

					11-02
					
					545
					
				

			

		

		

			
				
Windbg实用手册

Windbg工作中用的不多,所以命令老是记不住,每次使用都要重新查命令,挺烦。趁这次培训的机会好好测试和总结了一下,下次再用就方便多了。在这里一起共享一下,如果有错误,请指正。

 

基本知识和常用命令

(1)       Windbg下载地址http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx

...

			
		

	





	

		

			

				
					
WINDBG Script简易教程

				
			

			

				

					FISH 的专栏
				

				

					08-27
					
					1531
					
				

			

		

		

			
				
 标 题: 【原创】WINDBG Script简易教程{看雪学院2006金秋读书季}作 者: 笨笨雄时 间: 2006-10-22,17:03链 接: http://bbs.pediy.com/showthread.php?t=33663【文章标题】: WINDBG Script简易教程【文章作者】: 笨笨雄【作者邮箱】: nemo314@gmail.com【工具名称】: WINDBG【下载地

			
		

	





	

		

			

				
					
windbg 脚本命令实例

				
			

			

				

					多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
				

				

					12-24
					
					785
					
				

			

		

		

			
				
debugger commands部分,痛苦死了。也找不到WINDBG的插件,还是WINDBG没插件功能?为了简化调试过程,只有学习使用SCRIPT了,现在把这几天的经验跟大家分享。附件中所有代码经NOTEPAD,REGEDIT等调试,花了几小时,基本通过。

    废话多了,现在是正文。WINDBG的指令比较多,还是英文的,所以我只挑了一部分经常会用到的,并通过实例去告诉大家那些指令的作用

			
		

	





	

		

			

				
					
WinDBG自动收集栈信息脚本

				
			

			

				

					Sven的忘却日记
				

				

					11-22
					
					274
					
				

			

		

		

			
				
0)脚本代码
@echo off
 
@set tmp_user=%userprofile:\=\\%
 
@set debugger_dir=%userprofile%\Desktop\WinDbg\x86\
 
if &amp;quot;%1&amp;quot; == &amp;quot;&amp;quot; (echo Please Enter Process Name &amp;amp;amp; goto :END)
 
@echo bp kernel32!C

			
		

	





	

		

			

				
					
windbg 脚本程序编写[1]

				
			

			

				

					FISH 的专栏
				

				

					09-01
					
					3656
					
				

			

		

		

			
				
由于 softice 的逝去 , 现在学习 windbg 调试器的人越来越多了。我很高兴看到这样的情景, 因为我是从 windbg 调试器学习起,那还是一年半以前的事了。那时网上有关 windbg 的资料比较少,只能看 windbg 自带的帮助文档,学起来很费劲。 softice  宣布停止开发后这一年多时间里,由于使用windbg 的人数增多,很多相关的技术文档也随之出现,这些技术文档多数是作者

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值