随笔分类 -  调试相关

摘要:快一年没更新了,累,工作累,各种累,想换个工作,突然发现找不到合适的工作了,哎,自己往火坑里跳,怪不得别人。 import idautils import idaapi import idc print("new ") #ea = idc.get_curline() #print(ea) # def 阅读全文
posted @ 2023-04-02 14:42 穷到底 阅读(202) 评论(0) 推荐(0) 编辑
摘要:WinDBG Preview 支持用 JS 来写脚本。 之前弄过一套,虽然不能自动化调试,但是看信息,看数据什么的挺方便, 但是,脚本不见了。。。也没保存,也没入库。。。这里赶快保存一下。 没啥用的脚本,但是没准哪天用到了,还能想一想。 查看所有线程的调用栈信息。 确实就没啥用。 1 "use st 阅读全文
posted @ 2021-09-01 11:47 穷到底 阅读(192) 评论(0) 推荐(0) 编辑
摘要:默认这玩意是不开控制台的。 但是为了调试,我们还是要开控制台的。 实际上它底层就是个chrome浏览器。 所以我们也就用常规的方法旧可以打开了, 代码中插一句 window.webContents.openDevTools() 即可。 具体怎么做 先用asar 解包对方的 asar 包。 解包之后找 阅读全文
posted @ 2021-08-26 15:48 穷到底 阅读(3838) 评论(0) 推荐(1) 编辑
摘要:调试程序的时候,有的时候看调用栈,会出现这种情况 说,没法检测校验和 怎么办,好办,给它加一个校验和 去 VS 工具集目录中,找到 【editbin】工具, 具体使用方法: https://docs.microsoft.com/en-us/cpp/build/reference/editbin-op 阅读全文
posted @ 2020-11-26 10:29 穷到底 阅读(350) 评论(0) 推荐(0) 编辑
摘要:方法比较简单 但是可能是无效的,所以药做好心里准备 启动进程,然后WinDBG附加到进程,断下来 1:输入命令 !htrace -enable 告诉 WinDBG ,准备开始做句柄检测了 2:输入命令 !htrace -snapshot 告诉 WinDBG,创建一个句柄快照,以当前点为记住点做检测 阅读全文
posted @ 2020-11-24 16:49 穷到底 阅读(214) 评论(0) 推荐(0) 编辑
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip 阅读全文
posted @ 2020-11-23 11:55 穷到底 阅读(194) 评论(0) 推荐(0) 编辑
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip 阅读全文
posted @ 2020-11-20 16:43 穷到底 阅读(189) 评论(0) 推荐(0) 编辑
摘要:x86 环境下,从PEB里面取进程路径,如果进程名字包含 123 那么断下来,这里使用的是宽字符字符串。 bp 84ad4b7a "as /mu $Name poi(poi($peb + 0x10) + 0x038 + 4);.block{.if($spat(\"${$Name}\",\"*123* 阅读全文
posted @ 2020-11-16 23:38 穷到底 阅读(170) 评论(0) 推荐(0) 编辑
摘要:在 !peb 的返回结果中,查找 taskhost.exe ,找到了就输出 .shell -ci "!peb" find /I "taskhost.exe" 其实没太大用处,就是看内容用的 阅读全文
posted @ 2020-11-16 23:03 穷到底 阅读(115) 评论(0) 推荐(0) 编辑
摘要:https://github.com/276793422/Python3-debug-with-WinDBG python版本:3.8 其实也没啥,就是调用了一串命令,最后可以用一条命令来调dump。 将结果导出到一个目录中,然后分析目录中的文件,排序就能得到结果了。 后续还要再改,目前先这样吧。 阅读全文
posted @ 2020-09-27 06:17 穷到底 阅读(183) 评论(0) 推荐(0) 编辑
摘要:umdh 工具和 gflags 工具都是WinDBG工具集里面的工具,去目录里面找就好, 这个内存泄漏查询,只能支持正在执行的进程 0:设置符号路径 _NT_SYMBOL_PATH ,如果不设置的话,会有麻烦gflags -i kxescore.exe +ust 1:做第一次进程快照umdh -pn 阅读全文
posted @ 2020-09-23 16:16 穷到底 阅读(390) 评论(0) 推荐(0) 编辑
摘要:1:找到所有巨块内存,按照内存降序排序 !address+ 2afef000 4da00000 22a11000 <unknown> 554M+ 54389000 69d10000 15987000 <unknown> 345M+ 69d85000 6e340000 45bb000 <unknown 阅读全文
posted @ 2020-09-23 16:14 穷到底 阅读(326) 评论(0) 推荐(0) 编辑
摘要:1:查看所有堆信息,找到一个很大的堆0:243> !heap -s ******************************************************************************************************************** 阅读全文
posted @ 2020-09-23 16:13 穷到底 阅读(403) 评论(0) 推荐(0) 编辑
摘要:https://github.com/276793422/MicrosoftSymbolServerProxy 去下载吧 由于我在工作中,不定时地需要使用微软的调试工具——Windbg。 不定期地需要通过它来下载微软的符号。 但是近期出现了一个问题,就是微软的符号服务器无法连接了。是因为微软符号服务 阅读全文
posted @ 2020-08-04 20:47 穷到底 阅读(647) 评论(1) 推荐(0) 编辑
摘要:情况是这样的。 昨天,我得到了一个dump,这个dump是个full dump, 是一个系统蓝屏后的完全内存转储。 产品怀疑是我们的驱动导致出现了问题, 但是我们就不这么认为,所以就开始分析dump, 经过简单地查看调用栈,我们初步确认不是我们的问题。 但是如果要细挖细节的话,问题就来了, 我们只有 阅读全文
posted @ 2020-07-23 12:58 穷到底 阅读(354) 评论(0) 推荐(0) 编辑
摘要:其实没那么复杂 cmd 输入 msconfig 然后根据配置点两个勾就好了, 还得bcdedit,太费劲。。。 阅读全文
posted @ 2020-05-02 00:15 穷到底 阅读(216) 评论(0) 推荐(0) 编辑
摘要:1 var f 2 var x 3 mov f,"D:\\Debuger\\Ollydbg\\1.txt" 4 vv: 5 sto // STI 还是 sto 你自己决定 6 cmp eip,00541B90 // 如果不想无限循环,这里就为它赋个值 7 je stop 8 mov x, [0087 阅读全文
posted @ 2020-04-12 23:06 穷到底 阅读(284) 评论(0) 推荐(0) 编辑
摘要:最近,接到一个活,要写一个程序,用来批量分析一堆dll和对应的PDB, 其实工作很简单,就是根据一堆偏移,通过PDB文件,找到对应dll里面对应位置的明文符号, 简单的需求,实现起来,通常都很麻烦, 微软的demo中,有一个demo叫做dia,这个demo可以提供类似的功能, 我很高兴地编译了这个项 阅读全文
posted @ 2019-08-14 12:20 穷到底 阅读(1113) 评论(0) 推荐(0) 编辑
摘要:这命令超级牛B ,用途是算内存所在屋里地址 !vtop 命令可以有两个参数,第一个参数是CR3 寄存器的值,第二个参数是要查询的虚拟地址是多少,比如 这样使用。 然后 WinDBG会自动计算物理地址,并且写出计算过程,如下 一目了然。 阅读全文
posted @ 2017-04-11 03:27 穷到底 阅读(1434) 评论(0) 推荐(1) 编辑
摘要:其实很多时候,远程调试的话,我还是更喜欢用WinDBG的, 首先,可以练习WinDBG的使用手段, 其次,可以增加WinDBG的熟练度, 最重要的,WinDBG在内核调试部分很常用,我也很喜欢它,所以我也经常用, 但是用多了会发现有个问题,就是,WinDBG建立普通的调试环境太慢了, (不考虑dbg 阅读全文
posted @ 2017-04-05 15:20 穷到底 阅读(2268) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示