123456

摘要： KdPrint使用方法类似printf，注意KdPrint((" ", ))；使用的是双括号。用KdPrint(())来代替printf 输出信息。这些信息可以在DbgView 中看到。KdPrint(())自身是一个宏，为了完整传入参数所以使用了两重括弧。这个比DbgPrint 调用要稍好。因为在free 版不被编译。DebugPrint格式说明符 格式说明符 类型%cANSI字符 char%C宽字符 wchar_t%d,%i十进制有符号整数 int%D十进制__int64 __int64%IIRP主功能代码和次功能代码 PIRP%l十六进制的__int64 __int6 阅读全文

摘要： 语法#[Pattern][Address[LSize]]参数Pattern 指定用于在反汇编代码中搜索的模板。Pattern可以包含各种通配符和修饰符。关于该语法的更多信息，查看字符串通配符语法。如果在Pattern中包含空格，需要将模板用引号括起来。模板是不区分大小写的。如果之前使用过#命令，并且省略掉Pattern ，该命令会使用上一次的模板。Address 指定搜索开始的地址。该语法的更多信息，查看地址和地址范围语法。 Size指定要搜索的指令数量。如果省略掉Size ，会一直搜索直到遇到匹配项。0:000> untdll!LdrpDoDebuggerBreak+0x2c:773d 阅读全文

摘要： 自己参看：http://debugging.wellisolutions.de/cmdtree/基本语法：第一行是：windbg ANSI Command Tree 1.0下一行定义了cmdtree这个窗口的标题，标题的keyword是titile,紧接着一对{“”}，如title {"hgy413 common cmd"}注意title和后面的内容是分离的，不要写成：title{"hgy413 common cmd"}当然你也可以直接换一行：title {"hgy413 common cmd"}正文的keyword是body，第一个 阅读全文

摘要： 使用!dh命令:文本如下：.if(${/d:$arg1}){ .printf /D "\nYou selected the module: ${$arg1}\n"}.else{ .printf /D "\nSelect option below for loaded modules:\n" .foreach(obj {lm1m}) { .block { .printf /D "\nthe module header information: ${obj}\n" } }}运行结果： 阅读全文

摘要： !dh!dh 扩展显示指定映像的头部。语法!dh[Options]Address!dh-h参数Options 下面的选项之一：-f显示文件头。 0:000> !dh kernel32 -fFile Type: DLLFILE HEADER VALUES 14C machine (i386) 4 number of sections506DBD3E time date stamp Fri Oct 05 00:45:50 2012 0 file pointer to symbol table 0 number of symbols E0 si... 阅读全文

摘要： .shell 命令启动一个shell进程并将他的输出重定向到调试器或指定的文件语法.shell[Options][ShellCommand].shell-iInFile[-oOutFile[-eErrFile]][Options]ShellCommand看下FIND的解释：Options 可以是任意多个下面的选项：-ci "Commands" 执行指定的调试器命令，然后将他们的输出作为要创建的进程的输入文件。Commands 可以是任意多个用分号分隔的调试器命令，用引号括起来lm找所有包含32的：0:000> .shell -ci "lm" fin 阅读全文

摘要： 简单的scriptr @$t0 = kernelBase!IsDebuggerPresent; eb @$t0+0x9 31 c0 90 90强制把原代码改成xor eax, eax; nop; nop注意在xp下，使用kernel32 阅读全文

摘要： .dvalloc 命令使得Windows在目标进程中分配附加的内存.dvalloc[Options]SizeOptions 可以是任意多个下面的选项：/b BaseAddress 指定内存分配开始的虚拟地址。但只是说在这段分配，不一定为开始地址,如:0:000> .dvalloc /b 0x7eeeeeee 0x400Allocated 10000 bytes starting at 7eee00000:000> !address 0x7eeeeeee ProcessParametrs 002e1c28 in range 002e0000 0037e000 Environment 阅读全文

摘要： C++ 表达式解析器支持所有 C++ 表达式语法形式。包括所有数据类型(包括指针，浮点数，数组)以及 C++ 所有一元和二元运算符。?? 默认是对C++表达式求值C++ 表达式中的数值除非另有说明，C++ 表达式中的数值被当作十进制来解析。添加 0x 前缀指定十六进制整数。添加 0（零）指定八进制整这点比较坑，一定要特别注意，因为大家习惯是用16进制的0:000> ? 1Evaluate expression: 1 = 000000010:000> ?? 1int 10:000> ?? 1ffloat 10:000> ? 1fEvaluate expression: 3 阅读全文

摘要： void WReplace(wchar_t* pDstOut, wchar_t* pSrcIn, wchar_t* pSrcRpl, wchar_t* pDstRpl){ wchar_t* pi = pSrcIn; wchar_t* po = pDstOut; int nSrcRplLen = wcslen( pSrcRpl ); int nDstRplLen = wcslen( pDstRpl ); wchar_t *p = NULL; int nLen = 0; do { // 找到下一个替换点 p = wcsstr(pi, pSrcRpl); if (p != NUL... 阅读全文