.load, .loadby (Load Extension DLL) 简介 .load和.loadby命令将新的扩展DLL加载到调试器中。 使用形式 .load DLLName !DLLName.load .loadby DLLName ModuleName 参数 DLLName 指定要加载的调试 ...
分类:
数据库 时间:
2019-11-23 13:06:48
阅读次数:
120
!cppexr 简介 !cppexr显示C++异常记录的内容。 使用形式 !cppexr Address 参数 Address指定要显示的C++异常记录的地址。 支持环境 Windows 2000 Ext .dll Windows XP 和更高版本 Ext .dll 备注 ! Cppexr扩展显示与 ...
分类:
数据库 时间:
2019-11-23 13:03:40
阅读次数:
77
问题一:WinDBG分X86和X64两个版本 如果你用的是32位的WinDBG,那直接打开就行;你如果用的是64位的版本,那么如果调试64位代码也直接打开,如果调试x86的代码,要使用Wow64下的WinDBG.exe。 问题二:确定SOS和CLR的位置和版本 如果安装了Visual Studio的 ...
假设我们希望在加载特定的dll时中断调试器,例如,我想启用一些SOS命令,而clr还没有加载,当您遇到程序中过早发生的异常,并且您不能依赖手动尝试在正确的时间中断时,这尤其有用。例如,在将调试器附加到一个进程之后,我会得到一个错误,因为clr尚未加载 0:000> .loadby sos clr U ...
分类:
数据库 时间:
2019-11-18 18:09:04
阅读次数:
118
[TOC] 准备工作 Visual Studio 从2015 版本起携带了诊断工具,可以很方便地进行实时的内存与 CPU 分析,将大家从内存 dump 和 windbg 中解放出来。本文使用大量接口进行注入与实例化测试以观察内存占用,除 Visual Studio 外还需要以下准备工作。 大量接口与 ...
分类:
其他好文 时间:
2019-11-02 13:29:52
阅读次数:
95
!dumpheap -stat //检查当前所有托管类型的统计信息 !dumpheap -mt 00007ffdb9386948 -min 200 //查看mt内容 使用!do命令查看一个对象的内容 使用!gcroot 查看一个对象的gc根 !DumpObj /d 0000021975972b48 ...
分类:
数据库 时间:
2019-10-22 13:02:10
阅读次数:
87
虚拟机和模拟器区别:-- windbg双机调试给虚拟机下断点是跟虚拟机子系统进行交互,可能windbg调试器会修改到内核环境:比如寄存器、gdt表等会被改变(有时候你调试发现windbg中gdt 的某项数据 和 pchunter 中gdt的某个数据不一致;其实,大概率pchunter才是正确的 );... ...
分类:
其他好文 时间:
2019-10-22 12:53:10
阅读次数:
88
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的系统服务表描述符 在前面,我们将解过 系统服务表。可是,我们有个疑问,系统服务表存储在哪里呢? 答案就是:系统服务表 存储在 系统服务描述符 ...
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 逆向分析操作系统内核代码至少需要具备两项技能: 一、KPCR结构体介绍 二、KPCR结构体成员详解 使用windbg的 kd _KPCR 命令来查看该结构体成员。 k ...
1. 首先在VMX文件中添加 debugStub.listen.guest64 = "TRUE" debugStub.hideBreakpoints= "TRUE" debugStub.listen.guest64.remote = "TRUE" 2. 打开IDA 附加windbg DebugOpt... ...
分类:
数据库 时间:
2019-09-27 01:28:05
阅读次数:
120
