写内核代码期间慢慢积累整理的东西,发出来大家可以快乐地做CV战士。
.reload
u:主要用于反汇编某个地址,后面可以跟函数名和地址
L [nLength] 查看指定行数,不指定则显示8行
uf
反汇编整个函数(从函数头部开始反汇编)
db/dw/dd/dq/dD/df
!dd/!dq/!d?...
da/du/ds/dS命令
eb/ew/ed/eq
dt命令
dt 结构体 地址
lm命令
!process 命令
.process 命令
!object 命令
r 命令
r 寄存器
rdmsr [索引]
bp指令
ba指令
bd指令
be指令
bc * 指令
x命令
dds命令
dg 【tr】 命令
.cls
.reboot
!irql
.reload /f 重新装载模块
.reload /i 强制加载mismatched symbol
.reload /f 重新装载模块
.reload /i 强制加载mismatched symbol
u nt!DbgPrint
db显示一字节的长度
dw显示两字节的长度
dd显示四字节的长度
dq显示八字节的长度
显示double实数(8字节的长度)
df 显示float实数(4字节的长度)
dh 显示pe头信息
db显示一字节的长度
dw显示两字节的长度
dd显示四字节的长度
dq显示八字节的长度
显示double实数(8字节的长度)
df 显示float实数(4字节的长度)
dh 显示pe头信息
查看物理地址
da 显示asscii值
du 显示unicode值
ds 显示ANI_STRING值
dS显示UNICODE_STRING的值
da 显示asscii值
du 显示unicode值
ds 显示ANI_STRING值
dS显示UNICODE_STRING的值
eb address value 在address 这个地址写入一个字节value
ew address value 在address 这个地址写入两字节value
ed address value 在address 这个地址写入四字节字节value
eq address value 在address 这个地址写入八字节字节value
eb address value 在address 这个地址写入一个字节value
ew address value 在address 这个地址写入两字节value
ed address value 在address 这个地址写入四字节字节value
eq address value 在address 这个地址写入八字节字节value
dt主要用于查看结构体
查看地址所在结构体上的数值
kd>dt 0x873123b0 Irp -r1
-r 参数 指定深度 ,r1代表只看往下一层
查看地址所在结构体上的数值
kd>dt 0x873123b0 Irp -r1
-r 参数 指定深度 ,r1代表只看往下一层
lm 列出模块
lm vm模块名 查看模块详细信息
lm 列出模块
lm vm模块名 查看模块详细信息
!process 0 0 //列出系统进程信息
!process 0 0 进程名 //列出该进程信息
!process 0 1 进程名 //列出该进程详细信息
!process 0 7 进程名 //列出该进程包括线程在内的详细信息
!process 0 0 //列出系统进程信息
!process 0 0 进程名 //列出该进程信息
!process 0 1 进程名 //列出该进程详细信息
!process 0 7 进程名 //列出该进程包括线程在内的详细信息
.process EPROCESS //切入该进程中
.process /i EPROCESS //切入该进程中再附加,如果不加i的话上下文环境没有切换。
.process EPROCESS //切入该进程中
.process /i EPROCESS //切入该进程中再附加,如果不加i的话上下文环境没有切换。
!object 地址 //显示改地址的对象信息
查看所有寄存器的值(通用寄存器、段寄存器、eflag,看不到控制寄存器)
查看所有寄存器的值(通用寄存器、段寄存器、eflag,看不到控制寄存器)
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
