?

windbg

• 查找函數(shù):x exe!main*
• 條件斷點(diǎn)打印字符：bp 7199a2b0 ".printf \"message:%ma\", poi(@esp+8);.echo;g"//
• 搜索內(nèi)存:s -a 0000000000780000 ?L8000000 ?"This is a test2"
• !address,可以查看進(jìn)程的堆布局，堆屬性。!address my_addr,直接查看具體地址。
• bp??myexe+0x85d01 ".echo abc;r r8;r rcx;dc myexe+1000;gu;g"//直接使用偏移，gu運(yùn)行到當(dāng)前函數(shù)結(jié)束。.echo abc打印abc字符串。
• bu myexe+0x800;設(shè)置全局?jǐn)帱c(diǎn)，下次重啟時(shí)還存在；bm myexe!myclass::*,對(duì)myclass類(lèi)所有函數(shù)下斷點(diǎn)。
• p相當(dāng)于f10,t相當(dāng)于f11,trace
• ?c-1,用來(lái)計(jì)算公式。
• gflags.exe ?/i a.exe +hpa +ust.
• call指令相當(dāng)于push eip(esp也會(huì)增加4)，retn相當(dāng)于pop eip
• 修改寄存器命令：r @eax=1
• 修改內(nèi)存命令：ed (esp+8)? 0xffffffff
• !heap -flt s 8010 ? ?//列出 所有指定大小的分配塊
• 命令行下載符號(hào)表

這里可以使用 SymChk.exe 實(shí)用程序驗(yàn)證符號(hào)并以方便、非入侵性的方式生成本地符號(hào)高速緩存。SymChk.exe 實(shí)用程序隨 Debugging Tools for Windows 軟件包提供。SymChk.exe 是一種命令行工具。

比如要使用 SymChk.exe實(shí)用程序下載 Windows\System32 文件夾中所有組件的符號(hào)文件，使用以下命令行即可：

symchk /r c:\windows\system32 /s?SRV*c:\symbols\*http://msdl.microsoft.com/download/symbols

c:\progra~1\debugg~1\symchk.exe /r c:\progra~1\mozill~1\* /s SRV*C:\symcache\*http://symbols.mozilla.org/firefox

在此示例中，其中“/r c:\windows\system32”表示查找System32文件夾和所有子文件夾中的所有符號(hào)文件。“/s SRV*c:*http://msdl.microsoft.com/download/symbols”指定用于符號(hào)解析的符號(hào)路徑。在此例中，“c:\symbols”是將在其中從符號(hào)服務(wù)器復(fù)制符號(hào)的本地文件夾。

ida:在使用IDA對(duì)二進(jìn)制文件進(jìn)行逆向分析的時(shí)候，將基址修改為指定值:Edit->Segements->Rebase program

虛函數(shù)

windbg線程

• • ~???????????????簡(jiǎn)潔地顯示當(dāng)前進(jìn)程的所有線程，??
  • ~.??????????????表示當(dāng)前線程??
  • ~#??????????????表示異常或者產(chǎn)生調(diào)試事件的線程??
  • ~*??????????????表示所有線程??
  • ~1??????????????表示一號(hào)線程??
  • ~2?s????????????表示選擇2號(hào)線程作為當(dāng)前線程??
  • ~3?f????????????凍結(jié)三號(hào)線程??
  • ~3?u????????????解凍三號(hào)線程??
  • ~2?n????????????掛起二號(hào)線程??
  • ~2?m????????????恢復(fù)二線程??
  • ~*e?!clrstack???遍歷每個(gè)線程,?依次輸出它們的托管調(diào)用棧.??
  • !threads????????查看所有的托管線程
  • 在多線程排除問(wèn)題中，通過(guò)線程轉(zhuǎn)換(~2)，查看每個(gè)線程的棧(k)，分析其在那里堵塞。然后結(jié)合源碼分析。

3.windbg常見(jiàn)符號(hào)表地址

Microsoft?–?http://msdl.microsoft.com/download/symbols

Firefox???–?http://symbols.mozilla.org/firefox

Chrome????–?http://chromium-browser-symsrv.

Citrix????–?http://ctxsym.citrix.com/symbols

Safari?????--http://developer.apple.com/internet/safari/windows_symbols

調(diào)試firefox為例,設(shè)置多符號(hào)表情況：

SRV*c:\symcache\*http://msdl.microsoft.com/download/symbols;SRV*c:\symcache\*http://symbols.mozilla.org/firefox

轉(zhuǎn)載于:https://www.cnblogs.com/studyskill/p/7697677.html

總結(jié)

以上是生活随笔為你收集整理的windbg调试相关命令的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。