123456

摘要： .call 命令使得目标进程执行一个函数。语法.call[/v]Function(Arguments).call/c.call/C.call/sPrototypeFunction(Arguments)指定函数是被当前进程的当前线程调用的。只支持 cdecl、 stdcall、 fastcall和thiscall 调用约定。不能使用该方法调用托管代码Arguments不能使用字符串作为参数，但是可以使用字符串指针，或目标进程可以访问的其它任何内存我们可以看下以下的示例:0:000> ln 011334e0 e:\verifytxsigndemo\verifytxsigndemo\antih 阅读全文

摘要： 1.使用别名和删除别名aS ${/v:ScriptName} hgyad ${/v:ScriptName}注意不要用as，因为在没有任何名令参数时，as是把;也算在别名内的，也就是直接把hgy;ad...后所有的当成了别名可以用一个分号来结束aS命令。这在需要将所有命令放在单行中的脚本文件中有用。如果使用了/e、/ma、/mu、/msa、/msu或/x开关，as和aS 命令都会在遇到分号时结束2.如果内部要使用传入参数，那么先要判断是否提供了参数.if(${/d:$arg1}){.echo "提供了参数1"}.else{.echo "未提供参数1"}3. 阅读全文

摘要： DML象HTML那样允许在一定格式的标记中包含指令和不显示的信息。调试器的用户界面将能分析额外的信息并提供新的特性。DML内容说明DML对特殊字符的处理规则近似于XML/HTML。&, 和”都是特殊字符，不能直接在纯文本中使用。对应的转义字符为&, <, >和"例如下面的一句话：“Alice & Bob think 3 link text在DML中，该link标记基于超级链接结构。当链接被点击时，它将指示用户界面显示被链接的文本。当一个带cmd说明符的link被点击时，调试器将会运行该命令并替换当前输出1.显示的是l 阅读全文

摘要： C:\Program Files\Debugging Tools for Windows (x86)>gflags -p /enable L2.bin /full /unalignedpath: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options l2.bin: page heap enabledC:\Program Files\Debugging Tools for Windows (x86)>运行后，发现 SOFTWARE\Microsoft\Windows NT\CurrentVe 阅读全文

摘要： 1.s搜索命令 1.1搜索dword0:000> dd esp0029e898 00050001 7ffdf6cc cccccccc cccccccc0029e8a8 636e6554 20746e65 68636554 6f6c6f6e0029e8b8 53287967 7a6e6568 296e6568 6d6f43200029e8c8 796e6170 6d694c20 64657469 000000000029e8d8 00000000 00000000 00000000 000000000029e8e8 00000000 00000000 00000000 000000... 阅读全文

摘要： .foreach.foreach 关键字分析一个或多个命令的输出并将该输出中每一个值作为另一个或多个命令的输入.foreach[Options](Variable{InCommands}){OutCommands}.foreach[Options]/s(Variable"InString"){OutCommands}.foreach[Options]/f(Variable"InFile"){OutCommands}Options 可以是下面选项的任意组合：/pS InitialSkipNumber 使得开头的一些符号被跳过。InitialSkipNumb 阅读全文

摘要： 1.在MASM表达式中，你可以用poi来取任意指针指向的值0:000> .exprCurrent expression evaluator: MASM - Microsoft Assembler expressions0:000> dd eip L177ce054e fc7589cc0:000> dd poi(77ce054e) L1fc7589cc ????????2.在c++表达式中，数值首先都被认为是10进制，所以你得加上0x来表示16进程，如果你需要取某个数值指向的值，你需要把数值强制转换成指针0:000> .exprCurrent expression eva 阅读全文

摘要： 1.把所有语句写在脚本文件的单行中，每个语句和命令之间用分号隔开，然后用$><等命令运行脚本，这些命令会打开脚本文件，用分号替换所有的回车符，然后把结果文件当作单一的命令块执行.bu kernel32!LoadLibraryW "as /mu ${/v:$dllname} poi(@esp+4);.block{ .if(1==$spat(@\"${$dllname}\", @\"*mm*\")) { du poi(@esp+4) .echo breakpoint OK } .else { du poi(@esp+4) gc }}&q 阅读全文

摘要： 如果命令开头出现两个美元符号( $$ )，则该行剩下的部分被当成注释，除非碰到分号，$$ 关键字使得后面的文本被忽略掉，直到行末或者碰到分号。分号结束注释；分号后的文本被解析为标准的命令如果命令开头带星号( * )字符，则行中剩下的部分被当成注释，即使中间有分号0:000> r eax; $$ some text; r ebx; * more text; r ecxeax=00000000ebx=00000000以下是显示eax,ebx，但不显示ecx.echo命令显示注释字符串.echoString.echo"String"1.两种形式都可以包含任意数量的空格，逗号 阅读全文

摘要： .block 关键字不执行任何动作；只是用来引入一个语句块Commands;.block{Commands};Commands由大括号括住每个语句块。当进入每个语句块时，所有块中的别名都被重新计算。如果你在块中某个命令处修改了别名的值，往下的命令不会使用新的别名值，除非它们处在一个下属子语句块中如果你希望创建一个语句块只是为了计算别名，你应该带上 .block 关键字作为该语句块的前缀 阅读全文