38.windbg-调试技巧(创建进程即断下、r修改控制条件跳转)

最新推荐文章于 2024-09-15 14:06:04 发布

原创最新推荐文章于 2024-09-15 14:06:04 发布 · 2.6k 阅读

2 ·

本内容遵循CC 4.0 BY-SA版权协议

收录于

windbg 专栏收录该内容

81 篇文章

订阅专栏

本文介绍了如何通过修改控制条件跳转来测试未到达入口函数即崩溃的exe文件，详细解释了如何使用指令修改标志位以控制跳转，并通过实例演示了如何跳出循环。

创建进程时断下

用于测试未到入口函数就崩的exe

0:000> sxe cpr
0:000> sx
  ct - Create thread - ignore
  et - Exit thread - ignore
 cpr - Create process - break
 epr - Exit process - break
  ld - Load module - output
  ud - Unload module - ignore
 ser - System error - ignore
 ibp - Initial breakpoint - break
 iml - Initial module load - ignore
 out - Debuggee output - output

修改控制条件跳转

0:000> r zf
zf=1
0:000> r cf
cf=0
0:000> r pf
pf=1

看和改标志位可以用于控制跳转.

比如此行代码:

while(1)
	{
		printf("ThreadProc\n");
	}
	return 0;

为了跳出：运行到00d51b13时，查看zf的值

00d51b0e b801000000      mov     eax,1
00d51b13 85c0            test    eax,eax
00d51b15 7419            je      test1!ThreadProc+0x40 (00d51b30)

0:001> r zf
zf=0
0:001> r zf=1

修改zf为1，跳出循环

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

花熊

关注关注

2
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Go语言实现BPE分词器：tiktoken-go核心原理与工程实践

weixin_30555515的博客

05-11

644

在自然语言处理与大型语言模型应用中，分词是将文本转换为模型可处理单元的关键预处理步骤。字节对编码（BPE）作为一种高效的分词算法，通过迭代合并高频字节对构建词汇表，平衡了词汇表大小与语义粒度。其技术价值在于能够以统一方式处理多语言文本和生僻字符，同时控制输入序列长度，直接影响模型计算效率与API调用成本。在工程实践中，BPE分词器被广泛应用于文本嵌入、聊天机器人、代码生成等场景，是构建LLM应用基础设施的核心组件。本文聚焦于tiktoken-go这一纯Go实现，它通过编码表预加载、双缓存机制和无锁设计，为高

xdbg某软件逆向实战&无壳入门逆向实战

jockerboss的博客

02-26

1858

最新xbg逆向实战经验，

参与评论您还未登录，请先登录后发表或查看评论

解决载入(打开)加壳程序后，OD关闭退出的问题

liubingyuan的专栏

11-29

1927

题目：解决载入(打开)加壳程序后，OD关闭退出的问题编写：Coderui邮箱：coderui@163.com博客：http://hi.baidu.com/coderui环境：Win XP-SP3，Ollydbg 1.10 cao_cong汉化第二版关键字：脱壳;OD自动关闭;关闭OD;OD退出;载入后OD自动退出;打开后OD自动退出;问题： “VMPro

8086处理器保护模式基础（段模式）

黑暗巫妖的博客

06-16

616

8086保护模式中段模式的基础，使用32位作为例子讲解

WinDbg调试：启动和退出

Cynhard的专栏

08-25

5966

Windbg的启动绑定到进程通过指定进程ID绑定通过选项 -p 指定进程ID： > windbg -p 45480 通过指定进程名称绑定通过选项 -pn 指定进程名称： > windbg -pn notepad.exe 如果多个进程同名，则报错： There is more than one 'notepad.exe' process running. Fin

windbg 常用命令详解

热门推荐

chenyujing1234的专栏

07-13

9万+

一、 1、 !address eax 查看对应内存页的属性 2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block 4、 lmvm 可以查看任意一个dll的详细信息例如：我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l

【飞郁2022新课程】32 - xdbg的认识与设置

任鸟飞2217777779的博客

12-24

2675

xdbg的简介 Xllydbg(简称xdbg)和OD的用法和界面都是很像的,由于网络安全的发展,OD无法满足大部分人的需要了,更多的人习惯对xdbg进行处理,来达到正常调试的目的. 从官网下载一款xdbg,安装后双击下图的exe程序,可以打开32位的xdbg xdbg的初始设置打开xdbg并随便附加一款程序,我们先来对xdbg进行一些设置,这些设置更多是针对64位的程序的我们在选项中点选择选项,可以看到事件设置这里的断点没有特殊需求可以全部取消, 然后在异常中添加区间为0-0xFFFFFFFF,保证不

Windbg常用命令

静故了群动

01-15

769

在Windbg的命令行窗口输入"?", 则会输出帮助菜单, 在这个Menu中会显示一些常用的命令: (1)断点指令 B[C|D|E] [] clear|disable|enable breakpoints BL list breakpoints BP set soft breakpoints

Windbg调试命令详解（3）

张佩的技术库

10-08

6795

3 进程与线程既可以显示进程和线程列表，又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料，在调试过程中不可或缺。 3.1 进程命令进程命令包括这些内容：显示进程列表、进程环境块、设置进程环境。进程列表多个命令可显示进程列表，但一般只能在特定情况下使用，它们是：|、.tlist、!process和!dml_proc。竖线命令显示当前被调试进程列表的状态信息，这个命令在本章开头已作过介绍，命令格式如下： | [进程号] 请注意这里的定语：被调试进程列

从调试器控制异常和事件：SXE、 SXD、 SXN、SXI

无本之木

09-03

1万+

控制异常和事件在用户模式和内核模式应用程序中有很多方法用于截获和处理异常。激活的调试器、即时调试器或内部的错误处理程序都是异常处理的通常方法。关于这些错误处理方式优先等级的更多信息，查看启用即时调试。当Microsoft Windows操作系统允许由调试器来处理异常时，产生异常的程序会中断到调试器。即应用程序停止运行而调试器被激活。之后，调试器可以用各种方式处理掉异常或者分

26.windbg-sx、ld(设置异常处理、设置模块加载时断下)

hgy413的专栏

05-24

7521

1.sx sx* 命令用来控制被调试的程序发生某个异常或特定事件时，调试器要采取的动作 sx 命令显示当前进程的异常列表和所有非异常的事件列表，并且显示调试器遇到每个异常和事件时的行为。 sxr 命令将所有异常和事件过滤器的状态重设为默认值。命令被清除、中断和继续选项被重设为默认值，等等。 sx这个命令的输出信息可以分为三个部分：第一部分是事件处理与相应处理模式的交互，第二部分是标准的...

Windbg调试命令详解

Boy_Kris的专栏

02-28

2951

转载注明>> 【作者：张佩】【原文：http://www.yiiyee.cn/Blog】 1. 概述用户成功安装微软Windows调试工具集后，能够在安装目录下发现四个调试器程序，分别是：cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序，Kd.exe主要用于内核调试，有时候也用于用户态调试，上述三者的一个共

Windows平台的Windbg/x64dbg/OllyDbg/VisualGDB调试器简介以及符号文件*.pdb总结(★firecat推荐★)

$firecat利白的代码足迹$

02-05

1万+

一、Windbg Windbg是微软开发的一套调试器中的组件。WinDBG属于内核级别调试器，不仅可以用来调试应用程序，也可以调试内核级的代码，如驱动程序。Windbg由于其丰富的命令和对Windows的原生支持还有其易用性，是其他其他调试器望尘莫及的。如果安装了Windows SDK，一般会带有windbg.exe，gflags.exe和appverif.exe，安装路径是： Windows...

彻底掌握Windbg调试工具：使用与实践指南

最新发布

weixin_30481539的博客

09-15

5821

本文还有配套的精品资源，点击获取简介：本文详细介绍如何使用Microsoft的Windbg调试工具，一款广泛应用于软件开发、系统管理和安全领域的强大调试平台。内容涵盖从基本界面设置到高级调试技术，通过逐步指导帮助读者深入了解和掌握Windbg的核心功能。文章还强调了如何将Windbg与源代码及其他开发工具集成，并提供学习资源和社区支持，旨在提升用户在故障排查和软件调试方面...

WinDbg入门教程

狼窝

09-12

4万+

WinDbg 入门教程介绍在我的职业生涯中，我看到我们大多数都是使用Visual Studio来进行调试，而不是用其它许多免费的调试器。你可能有许多理由来使用这样的调试器，比如，在你家里的机器上没装开发环境，但是一个程序一次次的崩溃。其实根据堆栈的dump就可以判断出IE的崩溃是否是由于一个第三方的插件。对于WinDbg，我目前为止还没有发现很好的快速入门的教程。这篇文章结合实例讨论了

windbg学习----初始断点

weixin_30278311的博客

10-09

289

ntdll!LdrpDoDebuggerBreak+0x2c: 7757054e cc int 3 0:000> kv ChildEBP RetAddr Args to Child 0030f3c8 77550e00 7ffdf000 7ffd3000 775a714c ntdll!LdrpDoDebuggerBreak...

Windbg实用手册

xiliang_pan的专栏

10-19

3687

Windbg工作中用的不多，所以命令老是记不住，每次使用都要重新查命令，挺烦。趁这次培训的机会好好测试和总结了一下，下次再用就方便多了。在这里一起共享一下，如果有错误，请指正。基本知识和常用命令（1） Windbg下载地址http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx 安装完

Windbg学习18(sx和ld)

weixin_30485379的博客

05-24

349

遍历创建进程、创建线程、加载模块的回调函数

weixin_34360651的博客

10-28

293

今天我们首先来看一下最简单的,关于遍历PspCreateProcessNotifyRoutine数组,PspLoadImageNotifyRoutine也同理这两个数组保存了两组函数地址,它们将在有进程被创建或销毁,有镜像被装载或映射入内存的时候被依次调用, 当然了这两个符号都是未导出的,而且它们的数量在xp和win7下也有所不同,xp<2k3>下最大数...