-
-
[求助]熟悉windbg调试脚本的大佬来看下
-
发表于: 2020-2-6 20:08
-
下面的调试脚本是在CreateFileW打条件断点,然后在访问特定的文件断下来,但是调试一直打印如下,像是定义的变量fileName1没生效。如果把脚本里的两处ad *去掉,正常了许多,但是新问题又出现了,变量fileName1的值和poi(esp+4)不一样..., fileName1是上次断点的断下时获取的poi(esp+4)的值,这是什么原因?
插入代码
bp kernelbase!CreateFileW "
as /mu ${/v:fileName1} poi(esp+4);
.echo 'test1'
.echo '${fileName1}'
du poi(esp + 4)
.block {
.if($spat(@\"${fileName1}\", @\"*.json\"))
{
du poi(esp+4)
ad *;
.echo 'find111...'
}
.else
{
.echo 'not find222...'
ad *;
gc;
}
}
"
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-2-6 20:10
被louguodong编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
感谢大侠,你的脚本跟我有相同的问题,条件断点触发后断下来了,但是此时poi(esp+4)已经变化了,就是变量FileName和poi(esp+4)的内容是不一致的。 |
|
|
|
|
|
是的,是因为你的脚本里没有ad ${/v:$fileName},这个变量是持续存在的,或者每次执行脚本前ad *清一下也行。 我说的问题不是这个问题。 |
|
|
|
|
|
不是断点啊。是脚本中变量fileName的缓存,这个变量是持续存在的。 |
Adventure
