随笔分类 - 调试相关
摘要:快一年没更新了,累,工作累,各种累,想换个工作,突然发现找不到合适的工作了,哎,自己往火坑里跳,怪不得别人。 import idautils import idaapi import idc print("new ") #ea = idc.get_curline() #print(ea) # def
阅读全文
摘要:WinDBG Preview 支持用 JS 来写脚本。 之前弄过一套,虽然不能自动化调试,但是看信息,看数据什么的挺方便, 但是,脚本不见了。。。也没保存,也没入库。。。这里赶快保存一下。 没啥用的脚本,但是没准哪天用到了,还能想一想。 查看所有线程的调用栈信息。 确实就没啥用。 1 "use st
阅读全文
摘要:默认这玩意是不开控制台的。 但是为了调试,我们还是要开控制台的。 实际上它底层就是个chrome浏览器。 所以我们也就用常规的方法旧可以打开了, 代码中插一句 window.webContents.openDevTools() 即可。 具体怎么做 先用asar 解包对方的 asar 包。 解包之后找
阅读全文
摘要:调试程序的时候,有的时候看调用栈,会出现这种情况 说,没法检测校验和 怎么办,好办,给它加一个校验和 去 VS 工具集目录中,找到 【editbin】工具, 具体使用方法: https://docs.microsoft.com/en-us/cpp/build/reference/editbin-op
阅读全文
摘要:方法比较简单 但是可能是无效的,所以药做好心里准备 启动进程,然后WinDBG附加到进程,断下来 1:输入命令 !htrace -enable 告诉 WinDBG ,准备开始做句柄检测了 2:输入命令 !htrace -snapshot 告诉 WinDBG,创建一个句柄快照,以当前点为记住点做检测
阅读全文
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip
阅读全文
摘要:1 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; 2 aS ufLinkE "</link></col></u>"; 3 4 r $t1 = nt!KeServiceDescrip
阅读全文
摘要:x86 环境下,从PEB里面取进程路径,如果进程名字包含 123 那么断下来,这里使用的是宽字符字符串。 bp 84ad4b7a "as /mu $Name poi(poi($peb + 0x10) + 0x038 + 4);.block{.if($spat(\"${$Name}\",\"*123*
阅读全文
摘要:在 !peb 的返回结果中,查找 taskhost.exe ,找到了就输出 .shell -ci "!peb" find /I "taskhost.exe" 其实没太大用处,就是看内容用的
阅读全文
摘要:https://github.com/276793422/Python3-debug-with-WinDBG python版本:3.8 其实也没啥,就是调用了一串命令,最后可以用一条命令来调dump。 将结果导出到一个目录中,然后分析目录中的文件,排序就能得到结果了。 后续还要再改,目前先这样吧。
阅读全文
摘要:umdh 工具和 gflags 工具都是WinDBG工具集里面的工具,去目录里面找就好, 这个内存泄漏查询,只能支持正在执行的进程 0:设置符号路径 _NT_SYMBOL_PATH ,如果不设置的话,会有麻烦gflags -i kxescore.exe +ust 1:做第一次进程快照umdh -pn
阅读全文
摘要:1:找到所有巨块内存,按照内存降序排序 !address+ 2afef000 4da00000 22a11000 <unknown> 554M+ 54389000 69d10000 15987000 <unknown> 345M+ 69d85000 6e340000 45bb000 <unknown
阅读全文
摘要:1:查看所有堆信息,找到一个很大的堆0:243> !heap -s ********************************************************************************************************************
阅读全文
摘要:https://github.com/276793422/MicrosoftSymbolServerProxy 去下载吧 由于我在工作中,不定时地需要使用微软的调试工具——Windbg。 不定期地需要通过它来下载微软的符号。 但是近期出现了一个问题,就是微软的符号服务器无法连接了。是因为微软符号服务
阅读全文
摘要:情况是这样的。 昨天,我得到了一个dump,这个dump是个full dump, 是一个系统蓝屏后的完全内存转储。 产品怀疑是我们的驱动导致出现了问题, 但是我们就不这么认为,所以就开始分析dump, 经过简单地查看调用栈,我们初步确认不是我们的问题。 但是如果要细挖细节的话,问题就来了, 我们只有
阅读全文
摘要:其实没那么复杂 cmd 输入 msconfig 然后根据配置点两个勾就好了, 还得bcdedit,太费劲。。。
阅读全文
摘要:1 var f 2 var x 3 mov f,"D:\\Debuger\\Ollydbg\\1.txt" 4 vv: 5 sto // STI 还是 sto 你自己决定 6 cmp eip,00541B90 // 如果不想无限循环,这里就为它赋个值 7 je stop 8 mov x, [0087
阅读全文
摘要:最近,接到一个活,要写一个程序,用来批量分析一堆dll和对应的PDB, 其实工作很简单,就是根据一堆偏移,通过PDB文件,找到对应dll里面对应位置的明文符号, 简单的需求,实现起来,通常都很麻烦, 微软的demo中,有一个demo叫做dia,这个demo可以提供类似的功能, 我很高兴地编译了这个项
阅读全文
摘要:这命令超级牛B ,用途是算内存所在屋里地址 !vtop 命令可以有两个参数,第一个参数是CR3 寄存器的值,第二个参数是要查询的虚拟地址是多少,比如 这样使用。 然后 WinDBG会自动计算物理地址,并且写出计算过程,如下 一目了然。
阅读全文
摘要:其实很多时候,远程调试的话,我还是更喜欢用WinDBG的, 首先,可以练习WinDBG的使用手段, 其次,可以增加WinDBG的熟练度, 最重要的,WinDBG在内核调试部分很常用,我也很喜欢它,所以我也经常用, 但是用多了会发现有个问题,就是,WinDBG建立普通的调试环境太慢了, (不考虑dbg
阅读全文