最新消息:本站技术交流 QQ 群:28124927

WinDbg实战调试命令笔记

Rootkit/驱动底层 exchen 2498浏览 0评论

1.字符串查看
da esp-20 //显示ansi字符串
du esp-20 //显示ansi字符串
db esp-20
dd esp-20
dt SYSTEMTIME //查看结构体
dt ole32!SYSTEMTIME 01960d28

2.修改数据
eb ebp-20 61 61 61 61 61
ea 0012ff4c “bbbbb”
eu 0012ff4c “ab”
r @eax=1 //将eax寄存器修改为1

3.断点
bp 0042d5ef //下断点
ba e1 user32!SetWindowTextW //断点SetWindowTextW
ba e1 user32!SetWindowTextW “du poi(esp+8)” //断点SetWindowTextW, 打印出Title(esp+8)
ba e1 user32!SetWindowTextW “.if(poi(poi(esp+8)) == 00320031){}.else{g;}” //访问断点,如果esp+8等于”12″字符串
bd //禁用断点
be //开启断点
bl //查看断点
bc 0 //清除断点
bc * //清除所有断点

4.内存断点
s -u 0 300000 “123.” //查找字符串123.
ba r4 01960d28 //内存访问断点

5.其他相关
.formats 00320031
qd //退出调试
.restart //重新启动程序调试
.hh //打开帮助
x nt!*
address
ph
x kernel32!Get*Time
.sympath SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
.reload
g @$exentry //入口点
pt
gu
lmf

转载请注明:exchen's blog » WinDbg实战调试命令笔记

发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址