衡阳网站建设公司地址,书店网站怎么做,网络推广软件,网站内容资源建设双机调试 环境配置基础操作内存操作读内存写内存内核#xff08;双机调试#xff09;读内存搜索内存读内存显示为汇编指令读写寄存器和标志位杂项断点 环境配置
虚拟机端 打开cmd
bcdedit /copy {current} /d Debug
bcdedit /timeout 30输入以上结果重启后进入debug系统 M… 双机调试 环境配置基础操作内存操作读内存写内存内核双机调试读内存搜索内存读内存显示为汇编指令读写寄存器和标志位杂项断点 环境配置
虚拟机端 打开cmd
bcdedit /copy {current} /d Debug
bcdedit /timeout 30输入以上结果重启后进入debug系统 MSconfig能查到此图
bcdedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200
bcdedit /bootdebug ON
bcdedit /debug ON然后先启动windbg的attach kernel 再启动vmvare break之后的测试指令有反应就是成功了
!process 0 0
!idt基础操作
内存操作
读内存
dq 八个字节为一组显示内存 dd四个字节 dw两个字节 db一个字节
写内存
eq往一个地址可以偏移量以八个字节为单位写入八个字节 ed写入四个字节 ew写入两个字节 eb写入一个字节
内核双机调试读内存 只有内核态能使用的操作这里读的都是物理内存了 所有进程使用的都是虚拟内存 !dq 八个字节为一组显示内存 !dd四个字节 !dw两个字节 !db一个字节
搜索内存
s -q 起始地址 结束地址 搜索值搜索八个字节为某特定值的地址 s -d 起始地址 结束地址 搜索值搜索四个字节 s -w 起始地址 结束地址 搜索值搜索两个字节 s -b 起始地址 结束地址 搜索值搜索一个字节 s -u 起始地址 结束地址 搜索值搜索一个unicode字符 s -a 起始地址 结束地址 搜索值搜索一个ascii字符
读内存显示为汇编指令
u
读写寄存器和标志位
r读取所有寄存器和标志位 r 寄存器名读取一个寄存器的值 r 寄存器名*设置寄存器的值
杂项
.cls清理屏幕 k当前线程调用栈 gc从断点恢复运行 g从断点恢复运行双机调试时和gc一样
断点
bp下int3断点0xcc bl查看断点列表可以在列表中禁止(disable)和清除(clear) bd 断点编号禁止断点 bc 断点编号清除断点 ba下硬件断点 ba r
