windbg各种命令学习

最新推荐文章于 2024-07-06 18:08:58 发布
最新推荐文章于 2024-07-06 18:08:58 发布
阅读量1.4k 收藏
点赞数
分类专栏: 驱动学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcc1414/article/details/16883801
版权
本文详细介绍了Windbg中的一些常用调试命令,如dt用于查看结构体,ln用于查找内存地址对应的函数,dd/db用于数据查看,bp用于设置断点,s进行搜索,a修改指令,以及如何对未知驱动下断等。通过这些命令,可以帮助深入理解系统运行过程和调试技巧。
摘要由CSDN通过智能技术生成

1  dt命令:

dt _peb  直接显示

lkd> dt _peb
nt!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 Void
   +0x008 ImageBaseAddress : Ptr32 Void
   ···················
dt -b _peb  递归式显示 

lkd> dt -b _peb
nt!_PEB
   +0x000 InheritedAddressSpace : UChar
   +0x001 ReadImageFileExecOptions : UChar
   +0x002 BeingDebugged    : UChar
   +0x003 SpareBool        : UChar
   +0x004 Mutant           : Ptr32 
   +0x008 ImageBaseAddress : Ptr32 
   +0x00c Ldr              : Ptr32 
   +0x010 ProcessParameters : Ptr32 
   +0x014 SubSystemData    : Ptr32 
   +0x018 ProcessHeap      : Ptr32 
   +0x01c FastPebLock      : Ptr32 
   +0x020 FastPebLockRoutine : Ptr32 
   +0x024 FastPebUnlockRoutine : Ptr32 
   +0x028 EnvironmentUpdateCount : Uint4B
   +0x02c KernelCallbackTable : Ptr32 
   +0x030 SystemReserved   : Uint4B
   +0x034 AtlThunkSListPtr32 : Uint4B
   +0x038 FreeList         : Ptr32 
   +0x03c TlsExpansionCounter : Uint4B
   +0x040 TlsBitmap        : Ptr32 
   +0x044 TlsBitmapBits    : Uint4B
   +0x04c ReadOnlySharedMemoryBase : Ptr32 
   +0x050 ReadOnlySharedMemoryHeap : Ptr32 
   +0x054 ReadOnlyStaticServerData : Ptr32 
   +0x058 AnsiCodePageData : Ptr32 
   +0x05c OemCodePageData  : Ptr32 
   +0x060 UnicodeCaseTableData : Ptr32 
   +0x064 NumberOfProcessors : Uint4B
   +0x068 NtGlobalFlag     : Uint4B
   +0x070 CriticalSectionTimeout : _LARGE_INTEGER
      +0x000 LowPart          : Uint4B
      +0x004 HighPart         : Int4B
      +0x000 u                : __unnamed
         +0x000 LowPart          : Uint4B
         +0x004 HighPart         : Int4B
      +0x000 QuadPart         : Int8B
   +0x078 HeapSegmentReserve : Uint4B
   ···········································
dt -r0 _peb  不显示子类型

dt -r1 _peb  显示一级子类型  还没依次


下面是显示 搜索的字符串

dt _teb -ny Client

lkd> dt _teb -ny client//不分大小写
nt!_TEB
   +0x020 ClientId : _CLIENT_ID


dt _peb 7ffdf000  //将7ffdf000 处的数据按照_peb结构显示出来

dt exe文件名!!变量名    //可以显示变量 也可以直接dt 变量名


!pcr  //查看CPU PCR内容


dt nt!_KPCR xxxxxx //可以观察PCR


dt  _heap   或者 dt ntdll!_heap//查看_peb 中的ProcessHeap

lkd> dt _heap
nt!_HEAP
   +0x000 Entry            : _HEAP_ENTRY
   +0x008 Signature        : Uint4B
   +0x00c Flags            : Uint4B
   +0x010 ForceFlags       : Uint4B
   +0x014 VirtualMemoryThreshold : Uint4B
   +0x018 SegmentReserve   : Uint4B
   +0x01c SegmentCommit    : Uint4B
   +0x020 DeCommitFreeBlockThreshold : Uint4B
   `````````````````````````````````````
dt _peb @$peb  //取当前的PEB


dt PEB_LDR_DATA//查看PEB_LDR_DATA结构


//查看_LIST_ENTRY

lkd> dt _LIST_ENTRY 
nt!_LIST_ENTRY
   +0x000 Flink            : Ptr32 _LIST_ENTRY
   +0x004 Blink            : Ptr32 _LIST_ENTRY

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

按MSDN解释是:
Each item in the list is a pointer to an LDR_DATA_TABLE_ENTRY structure,双向循环链表吧,从一个方向开始,不停的循环,就回到初始位了,就相当于遍历了一次
也就是只是上面这个 _LIST_ENTRY是只想LDR_DATA_TABLE_ENTRY结构的

后面可以将这个_LIST_ENTRY结构的地址ldr_data_table_entry结构显示

//查看_ldr_data_table_entry 
lkd> dt _ldr_data_table_entry
nt!_LDR_DATA_TABLE_ENTRY
   +0x000 InLoadOrderLinks : _LIST_ENTRY
   +0x008 InMemoryOrderLinks : _LIST_ENTRY
   +0x010 InInitializationOrderLinks : _LIST_ENTRY
   +0x018 DllBase          : Ptr32 Void
   +0x01c EntryPoint       : Ptr32 Void
   +0x020 SizeOfImage      : Uint4B
   +0x024 FullDllName      : _UNICODE_STRING
   +0x02c BaseDllName      : _UNICODE_STRING
   +0x034 Flags            : Uint4B
   +0x038 LoadCount        : Uint2B
   +0x03a TlsIndex         : Uint2B
   +0x03c HashLinks        : _LIST_ENTRY
   +0x03c SectionPointer   : Ptr32 Void
   +0x040 CheckSum         : Uint4B
   +0x044 TimeDateStamp    : Uint4B
   +0x044 LoadedImports    : Ptr32 Void
   +0x048 EntryPointActivationContext : Ptr32 Void
   +0x04c PatchInformation : Ptr32 Void

LIST_ENTRY
最低0.47元/天 解锁文章
pandamac
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDbgWinDbg命令
qq_36308972的博客
03-26 731
一、 WinDbg命令 WinDbg共支持三类命令:标准命令、元命令和扩展命令 1. 标准命令 标准命令(standard command)用来提供适用于所有调试目标的基本调试功能.标准命令通常是一两个字符(version除外)或者符号,只有version等少数命令除外。标准命令的第一个字符是不分大小写的, 第二个字符可能区分大小写。所有标准命令都是实现在WinDBG内部的, 执行这些命令时不需要...
Windbg命令学习6(k和x)
weixin_30376453的博客
05-14 172
1.k k*命令显示给定线程的调用堆栈,以及其他相关信息 ~0 k表示打印0号线程的调用堆栈,直接用k表示打印当前线程的调用堆栈 0:002> ~0k ChildEBP RetAddr 0007fddc 77d191be ntdll!KiFastSystemCallRet 0007fdfc 010021b0 USER32!NtUserGetMessage+0xc 0...
Windbg实用命令
最新发布
weixin_42133300的博客
07-06 489
命令:常见的.sympath, 如.sysmpath +C:\pdb表示增加符号目录C:\pdb,.datch 附加调试器后,分离出来,让进程继续执行。sym noisy 符号加载混杂模式,开启后,再次使用.reload加载pdb的时候,可以看到调试器具体去什么路径加载pdb,如果发现路径不存在,我们可以手动创建目录,再次.reload。红色部分为线程号,我们可以切换到具体的线程,比如切换到15号线程,~15s,切换到14号线程 ~14s。输入该命令,可以打开Windbg的帮助命令,如图。
Windbg 基础命令 《第一篇》
ajwqb06628的专栏
05-14 193
Windbg 基础命令 《第一篇》   Windbg.exe是Windows的一个调试工具,它支持两种调试模式,即“实时调试模式(Living)”和“事后调试模式(Postmortem)”。 实时模式:被调试的程序正在运行当中,调试器可以实时分析、修改被调试目...
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 9万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
WinDbg Command
Angelo Lee's Blog
10-27 2135
WinDBG的大多数功能是以命令方式工作的, 本系列将介绍WinDBG的三类命令, 标准命令, 元命令和扩展命令.   标准命令 =============== 标准命令用来提供适用于所有调试目标的基本调试功能. 所有基本命令都是实现在WinDBG内部的, 执行这些命令时不需要加载任何扩展模块. 大多数标准命令是一两个字符或者符号, 只有version等少数命令除外. 标准命令的第一个字
windbg调试命令 很详细
04-24
### Windbg调试命令详解 Windbg是一款功能强大的调试工具,被广泛应用于Windows系统下的软件开发、故障排查等场景。...随着对Windbg了解的深入,还可以学习更多高级调试技巧,进一步提升自己的调试效率。
Windbg调试命令详解
12-28
Windbg 调试命令详解 Windbg 是 Windows 调试工具集中的一个重要组件,提供了强大的调试功能,包括用户态和内核态的调试模式。...通过学习 Windbg 的调试命令,用户可以提高自己的调试能力,快速地解决问题。
windbg命令大全.zip
09-04
这个"Windbg命令大全.zip"压缩包包含了深入学习和掌握Windbg所必需的重要资源,特别是PDF文档"WinDBG命令行大全.pdf",它应该详细列举了各种Windbg命令及其使用方法。 Windbg命令行大全的核心知识点包括以下几个...
windbg常用命令
11-16
help**:显示SOS扩展命令的帮助文档,对于学习和掌握Windbg中的高级.NET调试命令非常有帮助。 - **vertarget**:查看系统版本信息,这对于判断调试目标的环境至关重要。 - **!threads**:列出当前进程的所有线程,...
windbg调试命令大全
02-21
windbg调试命令大全 Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的另外一个用途是可以用来分析dump数据。
Windbg 命令 (一)
wupeng4389151的博客
08-27 818
Windbg 命令
WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册
aijianxie8808的博客
02-06 439
本文为 Dennis Gao 原创技术文章,发表于博客园博客,未经作者本人允许禁止任何形式的转载。 系列博文 《WinDbg 命令三部曲:(一)WinDbg 命令手册》 《WinDbg 命令三部曲:(二)WinDbg SOS 扩展命令手册》 《WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册》 导航目录 扩展加载命令 对象审查命令 数据结...
windbg常见命令
05-07 346
WinDbg WinDbg支持以下三种类型的命令: ·常规命令,用来调试进程 ·点命令,用来控制调试器 ·扩展命令,可以添加叫WinDbg的自定义命令,一般由扩展dll提供这些命令 PDB文件 PDB文件是由链接器产生的程序数据库文件。私有PDB文件包含私有和公有符号,源代码行,类型,本地和全局变量...
Windbg 常用命令
大黄鸭在发光的专栏
12-19 511
Windbg 是微软开发的一款强大的调试工具,用于调试 Windows 操作系统和应用程序。它支持各种调试技术,包括用户模式和内核模式调试、本地和远程调试、源代码和汇编级别调试等。
windbg 常用命令
HeroRazor的专栏
11-15 2944
常用的Windbg命令
windbg调试入门
blacet的专栏
10-28 1236
windbg调试入门 转载:http://www.cnblogs.com/kekec/archive/2012/12/02/2798020.html 使用前首先设置符号表,菜单File=>symbol File Path。 如设置为: srv*C:\Program Files\Debugging Tools for Windows (x86)\sym*http://msdl.
WinDbg常用命令详解及实例汇总
2. **通用WinDbg命令**: - `clear`:清屏,用于清理屏幕上的输出。 - 更多通用命令,如设置断点、查看内存状态等。 3. **调试会话管理**: - `attach`:附加到运行中的进程进行调试。 - `detach`:从进程脱钩...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值