本文主要记录了Windbg的一些关键命令,包括列出线程(~)、调试特定进程(-o)、事件控制(sx/sxe/sxd)、模块加载/卸载断点设置、寄存器(r)及内存(dp/dd/dq)查看、符号和结构化数据检查、条件断点以及进程和模块管理(lm、.process)等,旨在方便在实际逆向工程中快速查阅和使用。
这篇我主要记录一些windbg的常用命令,在书中都可以找到这些知识点,就是记录下,防止自己在使用过程中有时记不起来自己想用的命令是什么。
t(F11)--step into
p(F10)--step over
gu(shift+F11)--go up,执行到当前函数直到结束,返回到调用者
g(F5)--go,恢复程序执行
~命令可以列出所有线程
使用-o参数调试某路径下进程
可以使用sx命令列出所有事件
通过下面命令可以控制事件/异常的处理方式:
sxe event--为某个事件打开断点
sxd event--为某个事件关闭断点
sxr event--只为某个事件打开输出
sxi event--忽略某个事件命令sxe或sxd非常有用的用途就是捕获模块的加载或卸载。进行内核调试的时候,想要在某个驱动程序或者dll加载的时候停下调试器,可以使用如下命令:
sxe ld:driver_name.sys可以通过sx- -c
扫一扫
1365
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
