123456

摘要： 两种方式:dt -v:详细输出。这会输出结构的总大小和字段数量这样的附加信息。当它和-y选项一起使用时，所有的符号都会被显示出来，即使他们没有任何关联的类型信息。0:000> dt -v _image_nt_headersOGame!_IMAGE_NT_HEADERSstruct _IMAGE_NT_HEADERS, 3 elements, 0xf8 bytes +0x000 Signature : Uint4B +0x004 FileHeader : struct _IMAGE_FILE_HEADER, 7 elements, 0x14 bytes +0... 阅读全文

摘要： 1.概述本文从系统底层角度，通过分析MS.Net CLR架构在Win32平台上对PE可执行文件映像结构的扩展，解析CLR架构底层的部分运行机制，帮助读者从更深层次理解CLR架构中某些重要概念。本文读者应具备基本的Win32编程经验，了解CLR中常见概念意义，并对Win32平台之PE可执行文件映像结构有一定了解，具体说明请参看Matt Pietrek于1994年3月发表在MSJ上的经典文章《Peering Inside the PE: A Tour of the Win32 PortableExecutable File Format》，与之重复的部分本文一概跳过。2.前言对一个优秀Win32平 阅读全文

摘要： Microsoft .NET Framework出来小阵子了，我也自从其Beta 1以来，第一次接触。本文将从.NET生成的一个小PE文件着手，旨在理解.NET Framework对PE文件格式的扩展。这种扩展目的是让Windows系统识别Common Language Runtime(CLR)。 PE文件是Windows系列操作系统的可执行文件格式。本文假设您对这一文件格式有相当的理解，文中未涉及PE在之前的win16及之后的win64上的讨论。在CLR出现之前，PE文件格式仅简单的由PE Header与Native Image(相对于以下介绍的CLR Header与CLR Data部分.. 阅读全文

摘要： 要获取入口地址，可以用Native API： NtQueryInformationThread，以ThreadQuerySetWin32StartAddress为参数具体代码：.h：#pragma oncetypedef LONG NTSTATUS;typedef NTSTATUS (WINAPI *NTQUERYINFORMATIONTHREAD)( HANDLE ThreadHandle, ULONG ThreadInformationClass, PVOID ThreadInformation, ULONG ThreadInformationLength, PULONG Retu... 阅读全文

摘要： 调试器用户经常会需要查看在启动调试目标时使用了哪些命令行参数，这个信息是保存在PEB中的，可以通过!peb来获取，这个命令将解析PEB并给出完整的命令行，所有已加载DLL的位置，以及环境变量等.0:000> !pebPEB at 7ffdf000 InheritedAddressSpace: No ReadImageFileExecOptions: No BeingDebugged: Yes ImageBaseAddress: 008f0000 Ldr 77847880 ... 阅读全文

摘要： !dh:扩展显示指定映像的头部-h 在调试器命令窗口中显示该扩展命令的帮助文本。0:004> !dh -hUsage: dh [options] addressDumps headers from an image based at addressOptions: -a Dump everything -f Dump file headers -s Dump section headers也就这三个属性，默认是使用-a0:004> !dh ntdllFile Type: DLLFILE HEADER VALUES 14C machine (i3... 阅读全文

摘要： #include "stdafx.h"int fun0(int i){ return i;};int fun1(int i){ return fun0(i);}int _tmain(int argc, _TCHAR* argv[]){ fun1(10); return 0;}代码如上我们在test!fun1下个断点，g运行，断下来后：我们来观注下蓝色小框的地址是RetAddr，具体指什么，跳转到此处汇编：很明显了，就是运行函数后的下一条要执行的指令我们再看看ChildEBP的含义:现在打印下ebp值：0:000> r ebpebp=002ef930很诡异，怎么会是前一 阅读全文

摘要： VM版本如下:虚拟机用的是XP系统，找到XP系统打开系统盘（比如C盘），找到Boot.ini，去掉这个文件的只读属性，用记事本打开Boot.ini[boot loader]timeout=30default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetectmulti(0)disk(0)r 阅读全文

摘要： 因工作需要，安装VC6，注意以下几点：1.安装当然是选custom，先全部选中，再选Tools，更改选项，把OLE/Com Object Viewers去掉2.一般自己用不到vss，那就把Mircrosoft Visual SourceSafe 6.0勾去掉3.安装完了，要安装SP64.安装支持V6的PSDK2003Feb，装完后设置下include和lib在最前面（这个是在IE上安装的，所以要把IE设为默认浏览器）折腾了自己大半天，记录下. 阅读全文

摘要： 以下为win7系统1.开始中运行perfmon.exe打开性能测试器2.右键用户定义，选择新建--->数据收集器名字可以改成hgy选择从模板创建，点击下一步点击完成会出现以下界面：右键Performance Counter选择属性:把性能计数计器的项清空，日志格式：逗号分隔 示例间隔选5秒吧，如下图点击添加，添加自己想要的项，如虚拟内存是在process中选Pivate Byte,物理内存选Working Set,选定对象的实例可以选某个特定的进程:点击添加--确定：再应用，确定即可，在hgy右键-属性-停止条件改为5分钟之后就完成了，右键hgy--开始启动计录，5分钟后停止，5秒记一次 阅读全文