Windbg入门实战讲解.docx

Windbg入门实战讲解windbg作为windows调试的神器。是查看内核某些结构体,挖掘漏洞,调试系统内核,调试驱动等必不可少的工具。但是由于 windbg命令众多,界面友好程度较差,从而造成新人上手不易,望而却步。本文抛砖引玉,从基础入手,讲解 windbg。希望同作为新人的我们一起进步!注意:本文省略部分为:。。因为这部分的内容,网络上太多了。读者可自行百度。但是请注意:这两部分也是很重要的。0X1程序代码为了整体掌握windbg的调试流程。本文实例采用自己编写。好处是可以更为主动的熟悉windbg的调试命令,更加直观的查看windbg的显示结果。4{bInta;i_r»cb;丁tntc;a9£□tnt fodd()1011return办*b;12I13I®iJitfr_addCiLntaa£ntbt"Lntc) 11AI 1T5return3*B ; IT6I 117IstritF^add(tntarIncb,5匚c»j_ncdj 1IK<119return I2Q}121HintmalnC} 122<二23ST_M5C_m;24st_m■旨-f*_add<1t2):25prtntf("sumxsXd\n");2&st_m・b=r_add<it2,3】;27prvncrC**SLimi_sXd\nM. +28st_m*c-F_addC1,2(314);2号prlntTf'^sum15Xd\nw(蓉匕-);I3«return0;LiLJ}0X2windbg调试入口打开windbg,点击:File->OpenExecutable,选中编译好的exe文件。Windbg会自动给程序下一个断点。但是我们不知道这个断点是否属于我们程序的区域。所以,我们先要看下,断点是断在了什么地方。我们在windbg命令中输入!address断点地址。如下图所示:77曲EL|卧询临 u«!»******@54few«E«p:tHKtH|n«^空ril*A4CE1MrtfLBM.■.i4btkpp^n*Pffcr«ftmi..Rpuppun^TUMtCuKAF啊<l^4…nppuighwprigLWM...卜刪i"曲枫twa|? …艸PP5£(-h*!*■*...枫a*5(«ctLyd<tangnMitrtflAnA,,,静MeMI«nLdlllLdris(kM4j«»rtir*Ui"Me旳;«MC”制由OZ・・X2曲盯科:p帅“rr7?*kd*a77«^C44fT7*tc«177a*CflM并MCdMf7?MC(n73吋B449«r•Ch祠 「iHLmcafHJt闇ldU3*t・M4・FK跖4n^llL«>JTOlci4CTTMi*?*]4«啊UfaU|glAMTtM:巧熄F■=.■/!>:nt«:PreLKt:Tjrtw?KlloutusnB494:9**tt77K4444Wl«7Hfl(M44I1H4T73t»H4的*):_RE*B7Pi*eA«4火・丁林曲科""土*S4丁聲祎n77斗*码仙«lx4«09r13^J!MXifhtrFmiTLh忆QUWLOmi*jlrfs*^attmlihrfl-<4UlltfDyt»per"MHiL/sC2bi■啊・理冲**■勒*1甲ptr【vbprTA£77ifcd7d)l«t£*wKP*o4dU>Mm::LwM[«wKmrnWUrtftT^也11:出蓟WOO崎讳方疏邸針5叽1力11FMWWmreE毂5■“miMortwife:immubigrvVif©;[£Lillll6fJib£mofbinfs;kjwUrttSObifC*:1(C«riGH.)« 2M印血优刃JWie*—1LdrpDcDtbbigjprHirZPidkSTTMCdTI44lune打土也C3rw■Jw”mu旳£745fcr*rrrrfrdwrdJO[•efr^LIFFiFnFfth77*Ud7ij«4J7dbftlf,rcellntdlll空叽师Lgr«t77«^3AJlHU*377HC妙£ELnt37?*bG»$«W3TMcdUC£Lnt3CTTflAcd?*)…仝亠T?*M«TCC UK3瞇釧11111口阿tPrgA咿*3啟111<*4・:HJ火AAAAftff Ad*“Mill图中不仅仅显示了断点所在的“领空区域”,还显示了一些文件的其他属性。由于此时的断点不再我们需要的领空,所以下面要使用上文提过的伪寄存器了。我们在windbg中输入:bp$exentry。也可以输入bp@$exentry。@的作用是让windbg不再去