123456

摘要：r?命令可以让伪寄存器自动获取所赋参数的类型(仅在指派伪寄存器时) 使得伪寄存器获得类型信息。可以使用任何类型如，我们知道@$peb的类型是_PEB:0:000> dt ntdll!*PEB* ntdll!_PEB ntdll!_PEB_LDR_DATA0:000> ? @$pebEvaluate expression: 2147344384 = 7ffde000值为7ffde0000:000> dt -v ntdll!_PEB @$pebstruct _PEB, 91 elements, 0x248 bytes +0x000 InheritedAdd... 阅读全文

摘要：http://msdn.microsoft.com/zh-cn/subscriptions/ms679362(v=vs.85).aspx上比较详细说明，注意两点：1.You cannot get a valid context for a running thread. Use theSuspendThreadfunction to suspend the thread before callingGetThreadContext.2.If you callGetThreadContextfor the current thread, the function returns successf 阅读全文

摘要：1.首先加个新节:loadpe打开，加一个新节edit section header这时用UE打开exe,强制在最后加0X00字节，越多越好（大于0x200)原来是：改完后：把新节大小改成0x200这是还是运行不了exe，需要把sizeofimage改掉：202A000+1000=202b000'这时可以运行exe了以下加代码：用OD打开：运行下到OEP断下：加汇编：在242A010处数据加上curldown.dll,注意最后加0结束最后把OEP的第一条指令改为：call 0242A020即可 阅读全文

摘要：p|t =startAddr count可以让目标程序从指定的startAddr开始指行，注意，如果指定地址跳过了调整栈的代码，栈就会失去平衡count指定要单步执行的次数，如t 2就是两次运行t0:000> t 2eax=99e265e1 ebx=7ffd3000 ecx=00000000 edx=01b00370 esi=0026fc88 edi=0026fc80eip=01582e9c esp=0026fbd4 ebp=0026fc80 iopl=0 nv up ei ng nz na pe nccs=001b ss=0023 ds=0023 es=0023 fs... 阅读全文

摘要：运行到光标处，可以使用Ctrl+F10gu表示执行到上一级函数gc 命令使用和遇到断点时一样的方式(单步、跟踪或自由执行)来从一个条件断点恢复执行。gn和gN 命令继续给定线程的执行，但是不将异常标记为已处理。这样使得应用程序的异常处理器可以处理该异常gh命令将给定线程的异常标识为已处理，并且允许该线程从产生异常的指令继续执行。 阅读全文

摘要：ntdll!LdrpDoDebuggerBreak+0x2c:7757054e cc int 30:000> kvChildEBP RetAddr Args to Child 0030f3c8 77550e00 7ffdf000 7ffd3000 775a714c ntdll!LdrpDoDebuggerBreak+0x2c (FPO: [SEH])0030f528 77536047 0030f59c 774d0000 7121b76b ntdll!LdrpInitializeProcess+0x11a9 (FPO: [2,83,4... 阅读全文

摘要：0:000> as v version0:000> al Alias Value ------- ------- v version 0:000> vWindows 7 Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatibleProduct: WinNt, suite: SingleUserTSkernel32.dll version: 固定别名包括了$u0~$u9可以用以下命令方式修改固定别名所代表的实体0:000> r $.u0=nt!KiSer... 阅读全文

摘要：0:006> nbase is 16表示当前是16位进制的但是这个只作用于MASM表达式在C++表达式中的数字如果没有专门指定，则被认为是10进制数。0:006> ? 10+1Evaluate expression: 17 = 000000110:006> ?? 10+1int 110:006> nbase is 16？？后表示跟的是C++表达式在所有MASM表达式中，数字的值使用当前基数(16, 10, 或8)来进行解释。可以通过指定0x 前缀(16进制)、 0n 前缀(10进制)、0t 前缀(8进制)或者0y 前缀(2进制)来覆盖当前基数。0:006> nba 阅读全文

摘要：ctrl+alt+v能切换详细模式的打开和关闭打开详细模式后，一些显示命令会产生更详细的输出，发送给调试器的每个模块加载操作都会被显示出来并且操作系统每次加载驱动或都DLL也会提示Verbose mode ON.0:006> G*** Exit threadThread exited: 183c.1f50, code 0OUTPUT_PROCESS: *** exit cleanup ***id: 183c Handle: 470 index: 0 id: dfc hThread: 4e4 index: 0 addr: 00000000 id: 127c hThread: 5d... 阅读全文

摘要：当一些物品可以免费得到时，在正常情况下，经济中配置资源的市场力量就不存在了，也就是市场不能保证该物品生产和消费的适当数量在这种情况下，政府可以潜在地解决市场失灵，并增进经济福利1.物品有排他性吗？，可以阻止人们使用这些物品吗？2.物品有竞争性吗？，一个人使得这种物品减少了其他人对该物品的享用吗？可以使用排他性和竞争性把物品分成四类1.私人物品既有排他性又有竞争性2.公共物品既无排他性又无竞争性3.共有资源有竞争性但没有排他性4.当一种物品有排他性但没有竞争性时，可以说存在这种物品的自然垄断因为公共物品这种特性，所以人们会有一种搭便车者的激励，搭便车者是得到一种物品的收益但避开为此支付的人但是政 阅读全文