Windbg 脚本命令简介 一
Windbg 脚本命令简介 一 Windbg command
r:
registers的简写,可以显示或修改寄存器的值、浮点寄存器的值、定义别名变量。
可以显示当前线程下的寄存器值。
The r command displays or modifies registers, floating-point registers, flags, pseudo-registers, and fixed-name aliases.
0:000> ~2 r
//显示 2号线程的寄存器值
0:000> ~* r eax
//显示所有线程的 eax寄存器值
n (Set Number Base)
设置默认显示的数字进制(Radix)
0:000> n
base is 16
//显示默认进制
0:000> n 10
base is 10
//改成10进制
|
Value |
Description |
|
8 |
Octal |
|
10 |
Decimal |
|
16 |
Hexadecimal |
In all MASM expressions, numeric values are interpreted as numbers in the current radix (16, 10, or 8). You can override the default radix by specifying the 0x prefix (hexadecimal), the 0n prefix (decimal), the 0t prefix (octal), or the 0y prefix (binary).
dc 00cc07c8 00cc07c8+0n4344
Windbg默认的数值进制一般是16, 可以通过n命令查看和设置当前进制,
, 0n(十进制), 0x(十六进制), 0t(8进制), 0y(2进制), 比如0n20表示20, 0x14表示20等
? Expression(Evaluate Expression)
计算表达式
0:000> as fn c:\dir\name.txt //定义一个别名,设置别名,Alias Set
0:000> $spat("c:\dir\name.txt","*name*") //没有输出
0:000> ?$spat("c:\dir\name.txt","*name*") //计算结果,\n被转义,所以结果是0.
Evaluate expression: 0 = 00000000`00000000
0:000> ?$spat(@"c:\dir\name.txt","*name*") //在字符串前面加 @符号
Evaluate expression: 1 = 00000000`00000001
0:000> ?$spat("c:\dir\","*name*")
Syntax error at '("c:\dir\","*name*")' //有错误,因为dir\” 这里被转义
0:000> ?$spat(@"c:\dir\","*name*") //使用@,防止被转义
Evaluate expression: 0 = 00000000`00000000
0:000> ?$spat(@"c:\\name","*name")
Evaluate expression: 1 = 00000000`00000001 //找到结果,输出1,表示true
0:000> ?$spat(@"c:\dir\","*d*")
Evaluate expression: 1 = 00000000`00000001
0:000> ?$spat(${fn},"*d*")
Syntax error at '(c:\dir\name.txt,"*d*")' //定义别名就是类似C++ 里的宏
0:000> ?$spat("${fn}","*d*")
Evaluate expression: 1 = 00000000`00000001
0:000> ?$spat("${fn}","*name*")
Evaluate expression: 0 = 00000000`00000000 // fn 中的\n 被转义,所以找不到
0:000> ?$spat(@"${fn}","*name*")
Evaluate expression: 1 = 00000000`00000001
$spat 是MASM里的一个命令,检查第一个string参数是否符合第二个参数的模式(大小写敏感),
要注意 转移字符 \n, \", \r, and \b
?? 是c++表达式格式的,对应MASM的 ? 功能。
Address and Address Range Syntax
下面的2个是等价的,dd是读取双字,即4个字节,2个字节(byte)为一个字(word)。
当一个存放于0x00123456 的指针指向地址0x00420000,我们想显示位于地址0x00420000的内容时,可以有如下选择:
0:000> dd 420000 //直接打印位于该地址的值
0:000> dd poi(123456)
//取得0x00123456地址上指针的值,以poi函数(point to int)取值,即32位平台取4字节,64位平台取8字节,取的都是一个完整指针大小的长度,32位平台指针长度为4字节,64位平台指针长度是8字节。额外一点,int/Int32无论在32还是64位平台都是4字节。
读取开始地址为0x00001000 的8字节:这里假设对象长度是1字节,L指定是对象个数,它跟对象的大小有关系
Dd 0x00001000 0x00001007 //指定开始地址,结束地址
Dd 0x00001000 L8 //指定开始地址,对象个数8,假设对象是1字节长度
Dd 0x00001000 L2 //指定开始地址,对象个数2,假设对象是双字长度(4字节)
Dd 80000000 L20 // the range from 0x80000000 through 0x8000001F
Dd 80000000 L-20 //specifies the range from 0x7FFFFFE0 through 0x7FFFFFFF.
MASM parser treats all symbols as addresses, the example must have the poi operator to dereference MyVar
MASM解析器把所有的symbol符号都用地址的方式来表示,所以必须用poi函数来解析出地址里面的值。
实例:
|
0:000> !do 0x0000000122a8b110 Name: InternalEntity.CityInfoEntity MethodTable: 000007ff00283908 EEClass: 000007ff00293c18 Size: 48(0x30) bytes File: C:\ SearchService.InternalEntity.dll Fields: |
||||||||||||||||
|
MT |
Field |
Offset |
Type |
VT |
Attr |
Value |
Name |
|||||||||
|
000007fee4abc7e8 |
4000534 |
10 |
System.Int32 |
1 |
instance |
30138 |
city |
|||||||||
|
000007fee4abc7e8 |
4000535 |
14 |
System.Int32 |
1 |
instance |
10082 |
province |
|||||||||
|
000007fee4abc7e8 |
4000536 |
18 |
Sstem.Int32 |
1 |
instance |
28 |
country |
|||||||||
|
000007fee4abd618 |
4000537 |
20 |
System.Boolean |
1 |
instance |
1 |
hasMemoryCacheConfig |
|||||||||
|
000007ff00463810 |
4000538 |
8 |
...ityTimeZoneEntity |
0 |
instance |
0000000122a8b140 |
<CityTimeZone>k__BackingField |
|||||||||
|
000007fee4abc7e8 |
4000539 |
1c |
System.Int32 |
1 |
instance |
0 |
<CityhotelCount>k__BackingField |
|||||||||
|
0:000> dc 0x0000000122a8b110 00000001`22a8b110 00283908 000007ff 22a8b140 00000001 .9(.....@..".... 00000001`22a8b120 000075ba 00002762 0000001c 00000000 .u..b'.......... 00000001`22a8b130 00000001 00000000 00000000 00000000 ................ 00000001`22a8b140 00463810 000007ff 000075ba 00000e10 .8F......u...... 00000001`22a8b150 00000e10 00000001 d266c000 08cffbb9 ..........f..... 00000001`22a8b160 9d264000 08d0a0be 20c3c000 08d119c2 .@&........ .... 00000001`22a8b170 eb834000 08d1bec6 00000000 00000000 .@.............. 00000001`22a8b180 00256438 000007ff 22a8b110 00000001 8d%........".... |
ß 这里一行的长度是0n16 4字节*4组=16字节 的计算方式。 这里看一下这里Offset=8的地方是CityTimeZone对象,确实是Offset在8字节处。 |
|||||||||||||||
|
0:000> dc 0x0000000122a8b110+0x10 //0x000075ba=0n30138 00000001`22a8b120 000075ba 00002762 0000001c 00000000 .u..b'.......... 00000001`22a8b130 00000001 00000000 00000000 00000000 ................ 00000001`22a8b140 00463810 000007ff 000075ba 00000e10 .8F......u...... 00000001`22a8b150 00000e10 00000001 d266c000 08cffbb9 ..........f..... 00000001`22a8b160 9d264000 08d0a0be 20c3c000 08d119c2 .@&........ .... 00000001`22a8b170 eb834000 08d1bec6 00000000 00000000 .@.............. 00000001`22a8b180 00256438 000007ff 22a8b110 00000001 8d%........".... 00000001`22a8b190 00000000 00000000 00000085 000075ba .............u.. |
ß 这根据上面的Offset 0x10来直接用内存看,得到的结果是一样的,0x000075ba = 0n30138,使用?0x75ba 直接计算表达式可以得到值,如下所示。 |
|||||||||||||||
|
0:000> n16 base is 16 0:000> ?0x75ba //? 计算表达式的值 Evaluate expression: 30138 = 00000000`000075ba |
||||||||||||||||
|
0:000> !do 0000000122a8b140 Name: CityTimeZoneEntity MethodTable: 000007ff00463810 EEClass: 000007ff00475880 Size: 64(0x40) bytes File: C:\Hotel.Product.SearchService.InternalEntity.dll Fields: |
||||||||||||||||
|
MT |
Field |
Offset |
Type |
VT |
Attr |
Value |
Name |
|||||||||
|
000007fee4abc7e8 |
4000490 |
8 |
System.Int32 |
1 |
instance |
30138 |
<City>k__BackingField |
|||||||||
|
000007fee4abc7e8 |
4000491 |
c |
System.Int32 |
1 |
instance |
3600 |
<DstOffset>k__BackingField |
|||||||||
|
000007fee4abd618 |
4000492 |
14 |
System.Boolean |
1 |
instance |
1 |
<IsSupportDst>k__BackingField |
|||||||||
|
000007fee4ad96d8 |
4000493 |
18 |
System.DateTime |
1 |
instance |
0000000122a8b158 |
<CurDstStartDate>k__BackingField |
|||||||||
|
000007fee4ad96d8 |
4000494 |
20 |
System.DateTime |
1 |
instance |
0000000122a8b160 |
<CurDstEndDate>k__BackingField |
|||||||||
|
000007fee4ad96d8 |
4000495 |
28 |
System.DateTime |
1 |
instance |
0000000122a8b168 |
<NextDstStartDate>k__BackingField |
|||||||||
|
000007fee4ad96d8 |
4000496 |
30 |
System.DateTime |
1 |
instance |
0000000122a8b170 |
<NextDstEndDate>k__BackingField |
|||||||||
|
000007fee4abc7e8 |
4000497 |
10 |
System.Int32 |
1 |
instance |
3600 |
<UTCOffset>k__BackingField |
|||||||||
|
0:000> dd 0000000122a8b140 00000001`22a8b140 00463810 000007ff 000075ba 00000e10 00000001`22a8b150 00000e10 00000001 d266c000 08cffbb9 00000001`22a8b160 9d264000 08d0a0be 20c3c000 08d119c2 |
<-- 查看offset=8的地方,发现值确实是30138,查看offset=12,16进制 0xc的地方值确实为3600 |
|||||||||||||||
|
0:000> ?0x75ba Evaluate expression: 30138 = 00000000`000075ba 0:000> ?0xe10 Evaluate expression: 3600 = 00000000`00000e10 |
||||||||||||||||
|
0:000> dd poi(0x0000000122a8b110+8) 00000001`22a8b140 00463810 000007ff 000075ba 00000e10 00000001`22a8b150 00000e10 00000001 d266c000 08cffbb9 00000001`22a8b160 9d264000 08d0a0be 20c3c000 08d119c2 00000001`22a8b170 eb834000 08d1bec6 00000000 00000000 00000001`22a8b180 00256438 000007ff 22a8b110 00000001 00000001`22a8b190 00000000 00000000 00000085 000075ba 00000001`22a8b1a0 00000000 00000000 4aea67f9 08d0b971 00000001`22a8b1b0 00000000 00000000 e4ab6900 000007fe 0:000> !do poi(0x000000122a8b110+8) Name: Hotel.Product.SearchService.InternalEntity.CityTimeZoneEntity MethodTable: 000007ff00463810 EEClass: 000007ff00475880 Size: 64(0x40) bytes |
<--直接将CityInfoEntity 对象Offset=8位置处的地址通过poi函数得到该地址上的值0000000122a8b140 ,运行!do <object address> 看到的是CityTimeZoneEntity这个对象的内容。如果不加poi函数,dd 看到的还是CityInfoEntity对象的内容, 运行 !do 0x000000122a8b110+8 看到的将不是一个有效的对象。 |
|||||||||||||||
|
下面来看看如果不小心输入了下面的命令会是什么结果: |
||||||||||||||||
|
0:000> dd poi(0x0000000122a8b110)+8 000007ff`00283910 00050011 00000004 e4ab5a58 000007fe 000007ff`00283920 0025ed18 000007ff 00283978 000007ff 000007ff`00283930 00293c18 000007ff 00000000 00000000 000007ff`00283940 00000000 00000000 00283958 000007ff |
<--这里右括号括号的位置与上面的命令位置不一样。 看到前面正确命令的基地址是00000001`22a8b140,而这里变成了000007ff`00283910 ,差距很大。 |
|||||||||||||||
|
原因是什么呢? Poi命令把0x0000000122a8b110地址上的值作为另外一个地址,0x0000000122a8b110 后续的几个字节的那一段东西其实是内容,而不是地址。它表示的是CityInfoEntity这个对象的有实际意义的内容,而不是地址。Poi命令简单粗暴的将内容作为地址来对待。 |
||||||||||||||||
|
0:000> dd 0x0000000122a8b110 00000001`22a8b110 00283908 000007ff 22a8b140 00000001 00000001`22a8b120 000075ba 00002762 0000001c 00000000 |
<--通过dd 查看到以16进制表示的一串数字,这些数字是代表了CityInfoEntity的内容,00283908 000007ff 是内容,而poi把它作为地址来使用了。 |
|||||||||||||||
|
0:000> dd 000007ff00283908 000007ff`00283908 00080000 00000030 00050011 00000004 000007ff`00283918 e4ab5a58 000007fe 0025ed18 000007ff 000007ff`00283928 00283978 000007ff 00293c18 000007ff |
<--通过查看00283908 000007ff 这个地址的内容,我们找到offset=8的地方的内容,可以发现下划线的东西是一样的。 |
|||||||||||||||
Windbg 脚本命令简介 一的更多相关文章
- Windbg 脚本命令简介 二, Windbg command
Windbg 脚本命令简介 二, Windbg script command $<, $><, $$<, $$><, $$>a< (Run Scri ...
- Android系统Recovery工作原理之使用update.zip升级过程---updater-script脚本语法简介以及执行流程(转)
目前update-script脚本格式是edify,其与amend有何区别,暂不讨论,我们只分析其中主要的语法,以及脚本的流程控制. 一.update-script脚本语法简介: 我们顺着所生成的脚本 ...
- perf 高级命令简介
perf 高级命令简介 1.使用 tracepoint 当 perf 根据 tick 时间点进行采样后,人们便能够得到内核代码中的 hot spot. 使用ls命令来演示 sys_enter 这个tr ...
- window脚本命令学习(转)
批处理文件是无格式的文本文件,它包含一条或多条命令.它的文件扩展名为 .bat 或 .cmd.在命令提示下键入批处理文件的名称,或者双击该批处理文件,系统就会调用Cmd.exe按照该文件中各个命令出现 ...
- Windbg脚本和扩展工具开篇
好长一段时间没写文章了,最近一直忙于为项目的可调式性做一些脚本和扩展工具,鉴于对windbg强大威力的震撼,以及相对较少的资料,笔者决定写一系列关于如何开发Windbg脚本和扩展命令的文章,您的支持是 ...
- Android系统Recovery工作原理之使用update.zip升级过程分析(九)---updater-script脚本语法简介以及执行流程【转】
本文转载自:http://blog.csdn.net/mu0206mu/article/details/7465603 Android系统Recovery工作原理之使用update.zip ...
- WinDBG 调试命令大全
转载收藏于:http://www.cnblogs.com/kekec/archive/2012/12/02/2798020.html #调试命令窗口 ++++++++++++++++++++++++ ...
- Windbg调试命令详解
作者:张佩][原文:http://www.yiiyee.cn/Blog] 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe.ntsd. ...
- linux 基础 shell脚本命令
#########shell脚本命令#### 1.diff diff file file1 ####比较两个文件的不同 -c ####显示周围的行 -u ####按照一格式统一输出生成补丁 -r ## ...
随机推荐
- 恢复 MSSQL bak 文件扩展名数据(下)
恢复 MSSQL bak 文件扩展名数据 一.概念: RESTORE Statements (Transact-SQL) Restores backups taken using the BACKUP ...
- 区分Web服务器、HTTP服务器、应用程序服务器
在学习前端的过程中.进程听到和看到web服务器.HTTP服务器.应用程序服务器,但一直不知道它们有什么区别,迷惑了好久,今天查看的很多博客,终于算是梳理通了,下面我就来总结一下它们的区别,顺别了解一些 ...
- PHP开发微信公众号(一)二维码的获取
要开发微信公众号,首先进行需要注册一个,然后认证.这就不用多说了. 当然如果没有,也可以去申请一个测试号来使用,地址:https://mp.weixin.qq.com/debug/cgi-bin/sa ...
- 51nod2004 终结之时 (支配树+树剖+树链的并)
link 我永远喜欢洛天依 给定一张图世末积雨云,你需要维护其支配树: 单点修改,子树修改,树链修改 子树求和,树链求和,多条树链的并集求和 撤销之前的操作 可以先用 Lengauer-Tarjan ...
- html5兼容问题
1.html5对于ie9一下的版本不支持,所以我们可以添加(你可以下载至本地): <!--[if lt IE 9]> <script src="http://cdn.sta ...
- Hibernate 使用注释书写配置文件
Hibernate 使用注释 Hibernate使用注释有个好处就是我们不需要建立.hbm.xml文件,直接在实体类中添加注解就可以完成往数据库中进行数据操作 配置文件:hibernate.cfg.x ...
- ubuntu下Android反编译详细教程-apktool,dex2jar,jd-gui的使用
转载请注明出处:http://blog.csdn.net/fightlei/article/details/52432161 最近在学习Android反编译的一些知识,虽然在网上搜到了很多相关的文章, ...
- python全栈开发_day10_函数的实参和形参
一:函数的实参和形参 实参是在调用函数时()出现的外界的实际的值 形参不能再函数外部直接使用 1)实参的两种形式 实参是调用函数时()中传入的参数 1.位置实参 def a(a): print(a) ...
- HDFS 删除大量文件
hdfs dfs -find <path> | xargs -n 1000 hdfs dfs -rm -skipTrash
- sql2008R2新建链接服务器。
1:用sql新建链接服务器对象: /****** Object: LinkedServer [pad] Script Date: 10/23/2018 15:47:45 ******/ EXEC ma ...