我经常在windbg中调试.netframeworkv2.0/v 4.0代码。在v 2.0中,主clr dll称为“mscorwks.dll”,在v 4.0中称为“clr.dll”。很多人都知道,要在v 2.0中加载sos,我们必须输入“.loadby sos mscorwks”,在v 4.0中输入 ...
分类:
数据库 时间:
2020-03-07 10:09:58
阅读次数:
92
怎样打印某函数调用关系 命令功能适用范围 uf /c /D 地址 打印当前函数对其他函数的调用 用户态/内核态 # 函数名 起始地址 l长度 打印在某段地址范围内代码对该函数的引用 内核态/用户态 例1: kd> uf /c /D 0x804fa5e6 nt!KeDelayExecutionThre ...
分类:
数据库 时间:
2020-02-28 10:32:48
阅读次数:
147
在WinDBG的Command窗口中, 默认情况下, 你输入的命令很容易和该命令以及附近命令的输出混杂在一起. 在寻找之前命令的结果的时候, 眼睛看起来会很累. WinDBG提供了一个选项, 通过这个选项, 你可以把命令输入与输出的颜色进行设置. 选项名: Prompt level command ...
分类:
数据库 时间:
2020-02-27 11:40:57
阅读次数:
66
原调试IDA排错troubleshootsymbolspdbsysinternalprocess monitor 缘起最近想借助IDA逆向一个函数。在windows下,调试器(比如vs, windbg)可以通过调试符号(PDB)把地址与符号名对应起来,为我们提供更可读的信息。IDA应该也支持加载PD... ...
分类:
其他好文 时间:
2020-01-30 12:46:29
阅读次数:
153
如果用户模式应用程序已经在运行,调试器可以非侵入性地对其进行调试。对于非侵入性调试,您没有那么多的调试操作。但是,您可以最小化调试器对目标应用程序的干扰。如果目标应用程序已停止响应,则非侵入性调试非常有用。在非侵入性调试中,调试器实际上并不附加到目标应用程序。调试器挂起目标的所有线程,并可以访问目标 ...
分类:
数据库 时间:
2020-01-21 00:39:01
阅读次数:
121
1、运行一个exe文件,发生中断 Ctrl+Alt+Delete打开任务管理器-->详细信息-->选择对应的应用名称,右键选择创建转储文件,等待文件创建完成。 2、打开WinDbg工具 2.1 设置符号表的方式 选择File>Symbol File Path,设置pdb文件的位置为待调试exe的pd ...
分类:
数据库 时间:
2020-01-19 22:28:33
阅读次数:
142
1、环境及工具 本地主机 目标主机,可以是虚拟机 调试工具:VS2008、msvsmon.exe(根据目标机系统版本选择X64还是X86,远程调试监视器,一般在安装目录下 C:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\Remote ...
分类:
数据库 时间:
2020-01-19 22:15:37
阅读次数:
106
加载DLL 的时候断 sxe ld:[dll] 比如: sxe ld:wininet.dll (在wininet.dll 被装载的时候断点) 这里DLL名字是支持通配符的 比如: sxe ld:wini*.dll 也可以在事件过滤器里设置 卸载DLL 的时候断 sxe ud:[dll] 也可以在事件 ...
分类:
数据库 时间:
2020-01-11 10:02:51
阅读次数:
102
每次启动windbg时,我都会运行一些命令,我突然意识到,也许是时候将这些命令放到脚本中,让windbg自动执行它了。首先,创建一个包含要运行的所有命令的文件。对于本例,让我创建一个名为“dbg-prep.wds”的文件 C:\Users\ilhoye\Desktop\WinDbg> type db ...
分类:
数据库 时间:
2020-01-08 12:38:13
阅读次数:
84
你们都知道并喜欢DML,那些出现在WinDbg输出中的超链接,允许你们在思考崩溃代码的含义时漫无目的地点击。 但是,你知道DML在WinDbg的Windows10版本中甚至更好吗?已添加对游戏更改功能的支持:右键单击!是的,您现在可以右键单击DML输出并打开一个新的选项菜单: 此菜单中包括在新窗口中 ...
分类:
数据库 时间:
2020-01-08 10:47:37
阅读次数:
113
