windbg主要厉害的地方是在他可以对内核调试
并且本身微软的产品 对windows调试适配度够高
注意 windbg给出的图形操作并不好用 主要是使用命令行来进行操作
我们省略安装
file
可以打开软件 可以附加
也可以分析dump文件
还可以进行内核和 远程调试
内核调试分为5种
NET USB 1394 COM和本地调试
前面四种是双机调试模式
附加进程的非入侵模式调试 dump文件调试和本地内核调试都是属于非实时调试模式
不能直接控制被调试目标的中断和运行
一般是用来观察的
也可以用来修改内存数据
1.开始调试
Ctrl+E 打开程序
F6可以附加调试
在windbg中反汇编代码默认停止在 ntdll.dll 的系统断点处
并不会停在程序入口处
我们需要在命令窗口 输入
g@$exentery 转到程序入口
2.这里给出目标的执行命令
命令 | 快捷键 | 功能 |
t | F8/F11 | 跟踪执行,进入call |
p | F10 | 单步执行,不进入call |
g | F5 | 运行程序 |
pa 地址 | 单步到指定地址 并且不进入call | |
ta 地址 | 追踪到指定地址 并且进入call | |
pc [count] | 单步执行到下一个call调用 | |
tc [count] | 追踪到下一个call调用,遇到call进行跟进 | |
tb [count] | 追踪到下一条分支指令 遇到call进行跟进 【只适用于内核调试】 |
|
pt | 单步执行到下一条call的返回 | |
tt | 追踪到下一条call的返回,并且遇到call进行跟进 | |
ph | 单步执行到下一条分支指令 | |
th | 追踪执行到下一条分支指令,遇到call进行跟踪 | |
wt | 自动追踪函数执行过程 |
$ra代表当前函数的的返回地址
所以使用
“pa @$ra”
来走出当前函数
pc和tc都是执行到下一个call指令
count用于指定 遇到call的个数
默认是1
如果count为1 pc和tc这两个指令是等价的
3.这里给出的是断点指令
bp[ID] [Options] [Address [Passes]] ["CommandString"]
ID : 指定断点
options:
/l :一次性断点
/c :指定最大调用深度 大于这个深度断点不工作
/C :指定最小调用深度 小于这个深度断点不工作
Address:
地址或符号 例如 MessageBoxW
Passes:忽略中断的次数
CommandString : 指定一组命令 当断点中断的时候 自动执行这些命令
用双引号来包裹指令 分号来区分多指令
bu用于对某一个符号断点
bu kernel32!GetVersiono
和bp的区别:
bu是和符号关联 如果符号的地址改变了
断点会保持和源符号的关联
bp是和地址的关联 如果模块把地址的指令转移到其他地址
断点不会移动 依然是在原地址
并且 bu会保存在 windbg的工作空间 下次启动自动断点
bm断点是支持一次性创建多个bp或bu断点的指令
例如 对 msvcr80d模块的 print开头的函数都进行断点
bm msvcr80d!print*
TraceMe.exe
自动在命令行处进行加载
我们设置断点
bp kernel32!GetVersion
然后使用g来运行程序
硬件断点可以实现 监视I/O访问等功能 这些是软件断点无法实现的
ba[ID] Access Size [Options] [Address [Passes]] ["CommandString"]
ID : 指定断点
Access : 指定断点触发断点的访问方式
e :在读取指令或执行指令的时候触发断点
r :在读取指令的时候触发断点
w :在写入数据的时候触发断点
i :在执行输入/输出访问(I/O)触发断点
Size :
访问的长度
在X86可以为 1,2,4 代表 字节 字 双字
在X64多了一个 8 8字节访问
Address : 断点的地址 地址值按Size的值进行内存对齐
Passes和CommandString
和软件断点用法一样
软件断点和硬件断点都支持 条件断点
断点触发后 WinDbg会执行一些自定义的判断 并且执行命令
bp|bu|bm|ba _Adddress "j (Condition) 'OptionalCommands';'gc'"
bp|bu|bm|ba _Adddress ".if (Condition) {OptionalCommands} .else {gc}"
例子
bp kernel32!GetVersion ".if(@eax=0x12ffc4){}.else{gc}"
当 GetVersion调用的时候 检测 eax
如果值为 0x12ffc4就中断
否则 gc指令继续执行
但是当值为 0x12ffc4的时候 不一定能断下
因为在内核态 MASM会对 eax进行符号扩展
0x12ffc4会变为 0xFFFFFFFFc012ffc4
这个时候就可以使用 & 把eax的高位清零
bp kernel32!GetVersion ".if(@eax& 0x0`ffffffff)=0xc012ffc4{}.else{gc}"
例子2
在不中断的情况下 打印 CreateFileA的函数调用
bp kernel32!CreateFileA ".echo;.printf\"CreateFileA(%ma,%p,%p),ret=\",poi(esp+4),dwo(esp+8),dwo(esp+c);gu;.printf\"%N\",eaxl.echo;g"
bl 列出断点
bc bd be 来删除 禁止 启动断点
bd 1-3,4 禁止 1234断点
bc * 删除所有断点
4.栈窗口
栈是观测函数调用的重要调试手段
因为 call指令会把返回地址记录在栈中
我们就可以通过遍历栈帧来追溯函数调用过程
这里我遇到一个问题 就是怎么一直在 系统领空
这里是我忘记了windbg会自动在系统断点停止
g @$exentry
就可以调到程序领空
这里我们开始看栈中的函数
栈帧的基地址是通过EBP来访问的 所以是childebp
下面是返回地址 就是调用本函数的那条call指令的下一条地址 就是作为返回地址
只用于显示放在栈上的前3个参数
kp 可以吧参数和参数值以函数的原型返回出来 包括
参数类型 名字 取值
kv命令可以在kb的基础上增加 栈指针省略信息和调用约定
kd命令用于列出栈的数据
d命令
d [类型][地址范围]
dd 4001000 L4
L4可以指定显示前4个
字节
d命令有很多衍生
dw 双字word
dd 四个字节
dq 八个字节
df 四个字节单精度浮点数格式
dD 八个字节双精度浮点数格式
dp 指针大小格式 在32位中为4字节 64中为 8字节
ASCII
da 表示字符串
db 表示字节和字符串
dc dword和ASCII
du 表示unicode字符串
dW 表示双字节word 和 ASCII
ds 用于显示 ANSI_STRING
dS 用于显示 UNICODE_STRING
二进制
dyb 表示二进制和字节
dyd 表示二进制和dword
结构
dt [模块名!]类型名 用于显示数据类型和数据结构
例如
dt ntdll!* 可以列出NTDLL模块的所有结构
dt _PEB 可以显示 PEB的结构
地址
dds dps dqs 用于显示 地址和相关符号
拿 0040115Eh来举例子
s指令
s - [type] range pattern
type :
搜索的数据类型
b 比特
w word
d dword
a ascii
u unicode
默认为 b
range : 地址范围 可以用两个方式
1.起始地址+终止地址
2.起始地址+L(长度)
如果超过 256MB 使用 L?length
pattern:指定要搜索的内容 可以使用空格分隔要搜索的值
例如
s -u 400000 430000 "pediy"
在 400000 到 430000中 搜索 unicode字符串 pediy
s -a 0x000000000 L?0x7fffffff mytest
表示在 2GB的 user mode 内存空间中搜索 ASCII字符串mytest
e命令
写入字符串
e{a|u|za|zu} address "String"
za zu 是表示以 0 结尾的 ASCII 和 UNICODE 字符串
a u 表示不以0 结尾
例如
eaz 298438 "pediy"
就是在 298438 这个地址 写入 pediy这个ASCII 并且以0结尾
写入数值
e{a|b|d|D|f|q|u|w} address [values]
a ascii
b bite
d dword
D DOUBLE
f float
q 八个字节
u unicode
w word
eb 298438 70 65 64 69 79
会在 298438 写入 pediy 的数值形式
!address [Address]
5.脚本
windbg的脚本是一个语言
例如
我们想输出 helloword
.echo helloword
windbg给了很多伪寄存器
在表达式中使用伪寄存器 必须要使用转义符 @
$exentry 当前进程的入口地址 运行 g @$exentry 可以到达程序入扣
$ip 当前的指针寄存器
$ra 当前函数的返回地址
$retreg 当前函数返回地址存在这个寄存器中
$csp 当前的栈指针 esp/rsp
$tpid 当前进程的标识
$tid 当前线程的标识
$ea 最后一天被执行指令的有效地址
$p 最后一条 d 命令打印的值
$bpNumber 对应断点的地址
$t0~$t19 自定义伪寄存器
类似 define宏
一个是固定别名
一个是自定义别名
windbg提供了10个固定别名
$u0~$u9
在定义固定别名的时候需要使用 r 命令
r $.u0="helloword"
.echo $u0
自定义别名的命令有3个
as ad al
as为内存中的字符串定义别名
ad 删除别名 ad Name ad *
al 列出别名
as /选项 别名名称 别名实体
选项的选择
/ma ASCII
/mu Unicode
/msa ANSI_STRING
/msu UNICODE_STRING
/e 指定的环境变量
/f 指定文件的内容
as /ma bookname 0040115e
windbg识别两个表达式 MASM / c++
默认使用MASM
.expr 可以显示表达式语法
使用
@@c++()可以指定c++表达式
@@masm()可以指定 masm表达式
除了 +-*/这些算术运算符
还支持转型运算符
hi/low 可以得到32位数的高16 或 低16
by/wo 可以得到指定地址的地位1字节/1字的值
dwo/pwo 可以得到指定地址的DWORD/QWORD
poi 可以得到指定地址的指针长度
为了支持复杂的调试命令 Windbg还定义了特殊的运算符
$fnsucc(FnAddress,RetVal,Flag)
将RetVal作为 FnAddress处的函数的返回值 如果返回值是一个成功码
$fnsucc返回 true 否则false
$iment(Address)
返回加载模块列表中的映像入口地址
$scmp("string1","string2"):比较 -1 0 1
$sicmp("string1","string2"):比较 -1 0 1
它们的差别在于比较时是否忽略大小写。
$spat("string","pattern")
根据 string匹配 pattern 计算得到 true or false
$vvalid(Address,Length)判断Address起Length的内存是否有效
有效返回1 否则 0
支持C++的操作符
包括 . ->
C++会把数值作为十进制 所以 要加上 0x
支持两个注释方式 * 和 $$
* 后所有都会被当做注释
$$ 到 ; 结束为注释
6.例子
我们的要求是 打开CreateFileA函数 并且判断是不是 c:1212.txt
如果是就断点 如果不是就继续
命令行是
bp kernel32!CreateFileA "$
在D:\\test.txt的内容是
as /ma ${/v:fname} poi(esp+4)
.if ($sicmp("${fname}","c:\1212.txt")=0) {.echo ${fname}} .else{gc}
我们打入断点指令后
g运行程序
发现在原本读取 1212.txt的地方中断了
到此 windbg的基础就结束了