首页
社区
课程
招聘
[原创]最全Windbg 指令总结
发表于: 2022-2-14 23:57 18231

[原创]最全Windbg 指令总结

2022-2-14 23:57
18231

写内核代码期间慢慢积累整理的东西,发出来大家可以快乐地做CV战士。

.reload

u:主要用于反汇编某个地址,后面可以跟函数名和地址
L [nLength] 查看指定行数,不指定则显示8行

uf
反汇编整个函数(从函数头部开始反汇编)

db/dw/dd/dq/dD/df

!dd/!dq/!d?...

da/du/ds/dS命令

eb/ew/ed/eq

dt命令

dt 结构体 地址

lm命令

!process 命令

.process 命令

!object 命令

r 命令

r 寄存器

rdmsr [索引]

bp指令

ba指令

bd指令

be指令

bc * 指令

x命令

dds命令

dg 【tr】 命令

.cls

.reboot

!irql

.reload /f 重新装载模块
.reload /i 强制加载mismatched symbol
.reload /f 重新装载模块
.reload /i 强制加载mismatched symbol
u nt!DbgPrint
u nt!DbgPrint
 
db显示一字节的长度
dw显示两字节的长度
dd显示四字节的长度
dq显示八字节的长度
显示double实数(8字节的长度)
df 显示float实数(4字节的长度)
dh 显示pe头信息
db显示一字节的长度
dw显示两字节的长度
dd显示四字节的长度
dq显示八字节的长度
显示double实数(8字节的长度)
df 显示float实数(4字节的长度)
dh 显示pe头信息
查看物理地址
查看物理地址
da 显示asscii值
du 显示unicode
ds 显示ANI_STRING值
dS显示UNICODE_STRING的值
da 显示asscii值
du 显示unicode
ds 显示ANI_STRING值
dS显示UNICODE_STRING的值
eb address value 在address 这个地址写入一个字节value
ew address value 在address 这个地址写入两字节value
ed address value 在address 这个地址写入四字节字节value
eq address value 在address 这个地址写入八字节字节value
eb address value 在address 这个地址写入一个字节value
ew address value 在address 这个地址写入两字节value
ed address value 在address 这个地址写入四字节字节value
eq address value 在address 这个地址写入八字节字节value
dt主要用于查看结构体
dt主要用于查看结构体
查看地址所在结构体上的数值
kd>dt 0x873123b0 Irp -r1
-r  参数 指定深度 ,r1代表只看往下一层
查看地址所在结构体上的数值
kd>dt 0x873123b0 Irp -r1
-r  参数 指定深度 ,r1代表只看往下一层
lm 列出模块
lm vm模块名 查看模块详细信息
lm 列出模块
lm vm模块名 查看模块详细信息
!process 0 0  //列出系统进程信息
!process 0 0  进程名  //列出该进程信息
!process 0 1  进程名  //列出该进程详细信息
!process 0 7 进程名  //列出该进程包括线程在内的详细信息
!process 0 0  //列出系统进程信息
!process 0 0  进程名  //列出该进程信息
!process 0 1  进程名  //列出该进程详细信息
!process 0 7 进程名  //列出该进程包括线程在内的详细信息
.process EPROCESS //切入该进程中
.process /i  EPROCESS  //切入该进程中再附加,如果不加i的话上下文环境没有切换。
.process EPROCESS //切入该进程中
.process /i  EPROCESS  //切入该进程中再附加,如果不加i的话上下文环境没有切换。
!object 地址 //显示改地址的对象信息
!object 地址 //显示改地址的对象信息
查看所有寄存器的值(通用寄存器、段寄存器、eflag,看不到控制寄存器)
查看所有寄存器的值(通用寄存器、段寄存器、eflag,看不到控制寄存器)

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
最新回复 (5)
雪    币: 6049
活跃值: (12584)
能力值: ( LV12,RANK:312 )
在线值:
发帖
回帖
粉丝
2

见附件

上传的附件:
2022-2-15 08:58
2
雪    币: 6064
活跃值: (5475)
能力值: ( LV5,RANK:65 )
在线值:
发帖
回帖
粉丝
3
一半人生 见附件
感谢分享!
2022-2-15 09:29
0
雪    币: 1366
活跃值: (777)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
谢谢分享。
2022-2-21 17:00
0
雪    币: 200
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
怎么可以联系到你?   请下私信
2022-3-1 12:45
0
雪    币: 3126
活跃值: (3241)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
6
补充最近经常使用的内核模式下调试三环进程以lsass.exe为例
!process  0 0 lsass.exe
.process /i /p /r {PROCESS} 
g
.reload /user
2022-3-1 14:31
0
游客
登录 | 注册 方可回帖
返回
//