hgy413
hgy413

15.windbg-dds、dps、dqs、PE文件解析

以下默认windbg加载calc程序

d*s

ddsdpsdqs命令显示给定范围内存的内容,它们是把内存区域转储出来,并把内存中每个元素都视为一个符号对其进行解析,dds是四字节视为一个符号,dqs是每8字节视为一个符号,dps是根据当前处理器架构来选择最合适的长度

比如要看看当前stack 中保存了哪些函数地址,就可以检查ebp  指向的内存

0:000> dds ebp
0007fdfc  0007ff1c
0007fe00  010021b0 calc!WinMain+0x25f
0007fe04  0007fee8
0007fe08  00000000
0007fe0c  00000000
0007fe10  00000000
0007fe14  7c80b741 kernel32!GetModuleHandleA
0007fe18  000a232f
0007fe1c  00000000
由于 COM Interface 和C++ Vtable 里面的成员函数都是顺序排列的,所以这个命令可以方便
地找到虚函数表中具体的函数地址。比如用下面的命令可以找到OpaqueDataInfo 类型中虚
函数对应的实际函数地址:
0:002> x ole32!OpaqueData*
76aa6a41 ole32!OpaqueDataInfo::GetOpaqueData = <no type information>
76aa6b3b ole32!OpaqueDataInfo::UnSerialize = <no type information>
76aa6c16 ole32!OpaqueDataInfo::SerializableQueryInterface = <no type information>
76aa5748 ole32!OpaqueDataInfo::QueryInterface = <no type information>
76aa6393 ole32!OpaqueDataInfo::CopyOpaqueData = <no type information>
76aa5757 ole32!OpaqueDataInfo::AddRef = <no type information>
76a57107 ole32!OpaqueDataInfo::UnSerializeCallBack = <no type information>
76aa5766 ole32!OpaqueDataInfo::Release = <no type information>
769a697c ole32!OpaqueDataInfo::`vftable' = <no type information>
76aa69cb ole32!OpaqueDataInfo::AddOpaqueData = <no type information>
769bfae2 ole32!OpaqueDataInfo::GetOpaqueDataCount = <no type information>
76aa6b24 ole32!OpaqueDataInfo::Serialize = <no type information>
769c9df3 ole32!OpaqueDataInfo::AddRef = <no type information>
769c9ebc ole32!OpaqueDataInfo::Release = <no type information>
76aa6a97 ole32!OpaqueDataInfo::DeleteOpaqueData = <no type information>
76aa6bc9 ole32!OpaqueDataInfo::GetCLSID = <no type information>
76aa57c0 ole32!OpaqueDataInfo::OpaqueDataInfo = <no type information>
769c1cb0 ole32!OpaqueDataInfo::GetAllOpaqueData = <no type information>
76aa54b9 ole32!OpaqueDataInfo::~OpaqueDataInfo = <no type information>
76aa6be9 ole32!OpaqueDataInfo::SetParent = <no type information>
76aa5693 ole32!OpaqueDataInfo::`scalar deleting destructor' = <no type information>
76aa6b78 ole32!OpaqueDataInfo::GetSize = <no type information>
76aa6540 ole32!OpaqueDataInfo::QueryInterface = <no type information>
769a69a0 ole32!OpaqueDataInfo::`vftable' = <no type information>
0:002> dds 769a69a0 
769a69a0  76aa6540 ole32!OpaqueDataInfo::QueryInterface
769a69a4  769c9df3 ole32!InstanceInfo::AddRef
769a69a8  769c9ebc ole32!InstantiationInfo::Release
769a69ac  76aa69cb ole32!OpaqueDataInfo::AddOpaqueData
769a69b0  76aa6a41 ole32!OpaqueDataInfo::GetOpaqueData
769a69b4  76aa6a97 ole32!OpaqueDataInfo::DeleteOpaqueData
769a69b8  769bfae2 ole32!ServerLocationInfo::GetRemoteServerName
769a69bc  769c1cb0 ole32!CComProcessInfo::GetProcessName
769a69c0  76a57107 ole32!InstanceInfo::UnSerializeCallBack
769a69c4  00000021
769a69c8  76a2d73d ole32!CClassMoniker::QueryInterface
769a69cc  76a339fb ole32!CErrorObject::AddRef
769a69d0  76a0679a ole32!CClassMoniker::Release
769a69d4  76a06a39 ole32!CClassMoniker::GetUnmarshalClass
769a69d8  76a06a56 ole32!CClassMoniker::GetMarshalSizeMax
769a69dc  76a06a99 ole32!CClassMoniker::MarshalInterface
769a69e0  76a2d2b9 ole32!CClassMoniker::UnmarshalInterface
769a69e4  76a07099 ole32!CClassMoniker::ReleaseMarshalData
769a69e8  769e288e ole32!CDdeObject::COleItemContainerImpl::IsRunning
769a69ec  76a2d72e ole32!CClassMoniker::QueryInterface
769a69f0  76a339dd ole32!CErrorObject::AddRef
769a69f4  76a06ab8 ole32!CClassMoniker::Release
769a69f8  76a069d1 ole32!CClassMoniker::GetComparisonData
769a69fc  90909090
769a6a00  76a066c9 ole32!CClassMoniker::QueryInterface
769a6a04  76a05efd ole32!CSCMergedEnum<IEnumCATEGORYINFO,tagCATEGORYINFO>::AddRef
769a6a08  76a067a6 ole32!CClassMoniker::Release
769a6a0c  76a068f3 ole32!CClassMoniker::GetClassID
769a6a10  769acee9 ole32!CDdeServerCallMgr::AddRef
769a6a14  76a2d7f2 ole32!CClassMoniker::Load
769a6a18  76a06931 ole32!CClassMoniker::Save
769a6a1c  76a07055 ole32!CClassMoniker::GetSizeMax

 

PE文件解析

start    end        module name
01230000 0124b000   test1    C (private pdb symbols)

1.dos头: 
0:001> dt IMAGE_DOS_HEADER 01230000 
test1!IMAGE_DOS_HEADER
   +0x000 e_magic          : 0x5a4d
   +0x002 e_cblp           : 0x90
   +0x004 e_cp             : 3
   +0x006 e_crlc           : 0
   +0x008 e_cparhdr        : 4
   +0x00a e_minalloc       : 0
   +0x00c e_maxalloc       : 0xffff
   +0x00e e_ss             : 0
   +0x010 e_sp             : 0xb8
   +0x012 e_csum           : 0
   +0x014 e_ip             : 0
   +0x016 e_cs             : 0
   +0x018 e_lfarlc         : 0x40
   +0x01a e_ovno           : 0
   +0x01c e_res            : [4] 0
   +0x024 e_oemid          : 0
   +0x026 e_oeminfo        : 0
   +0x028 e_res2           : [10] 0
   +0x03c e_lfanew         : 224
来确认下这个是PE文件: 
0:001> da 01230000 +0
01230000  "MZ."
2.nt头
e_lfanew定义了真正的PE文件头的相对偏移量RVA 
0:001> da 01230000 +0n224
012300e0  "PE"
0:001> dt IMAGE_NT_HEADERS 01230000 +0n224
test1!IMAGE_NT_HEADERS
   +0x000 Signature        : 0x4550
   +0x004 FileHeader       : _IMAGE_FILE_HEADER
   +0x018 OptionalHeader   : _IMAGE_OPTIONAL_HEADER
3.文件头 
0:001> dt IMAGE_FILE_HEADER 01230000 +0n224+0x4
test1!IMAGE_FILE_HEADER
   +0x000 Machine          : 0x14c
   +0x002 NumberOfSections : 7
   +0x004 TimeDateStamp    : 0x55cae429
   +0x008 PointerToSymbolTable : 0
   +0x00c NumberOfSymbols  : 0
   +0x010 SizeOfOptionalHeader : 0xe0
   +0x012 Characteristics  : 0x102
由Characteristics  : 0x102可以得出这是个 #define IMAGE_FILE_EXECUTABLE_IMAGE          0x0002  // 文件可执行 #define IMAGE_FILE_32BIT_MACHINE             0x0100  // 32位机器  
4.扩展文件头 
0:001> dt _IMAGE_OPTIONAL_HEADER 01230000 +0n224+0x18
test1!_IMAGE_OPTIONAL_HEADER
   +0x000 Magic            : 0x10b
   +0x002 MajorLinkerVersion : 0x9 ''
   +0x003 MinorLinkerVersion : 0 ''
   +0x004 SizeOfCode       : 0x3600
   +0x008 SizeOfInitializedData : 0x4200
   +0x00c SizeOfUninitializedData : 0
   +0x010 AddressOfEntryPoint : 0x1107d
   +0x014 BaseOfCode       : 0x1000
   +0x018 BaseOfData       : 0x1000
   +0x01c ImageBase        : 0x1230000
   +0x020 SectionAlignment : 0x1000
   +0x024 FileAlignment    : 0x200
   +0x028 MajorOperatingSystemVersion : 5
   +0x02a MinorOperatingSystemVersion : 0
   +0x02c MajorImageVersion : 0
   +0x02e MinorImageVersion : 0
   +0x030 MajorSubsystemVersion : 5
   +0x032 MinorSubsystemVersion : 0
   +0x034 Win32VersionValue : 0
   +0x038 SizeOfImage      : 0x1b000
   +0x03c SizeOfHeaders    : 0x400
   +0x040 CheckSum         : 0
   +0x044 Subsystem        : 3
   +0x046 DllCharacteristics : 0x8140
   +0x048 SizeOfStackReserve : 0x100000
   +0x04c SizeOfStackCommit : 0x1000
   +0x050 SizeOfHeapReserve : 0x100000
   +0x054 SizeOfHeapCommit : 0x1000
   +0x058 LoaderFlags      : 0
   +0x05c NumberOfRvaAndSizes : 0x10
   +0x060 DataDirectory    : [16] _IMAGE_DATA_DIRECTORY

5.区块表
紧接着IMAGE_NT_HEADERS后的是区块表
 
0:001> ?? sizeof(IMAGE_NT_HEADERS)
unsigned int 0xf8
0:001> ? 01230000 +0n224 + 0xf8
Evaluate expression: 19071448 = 012301d8
这是起始地址
注意查找结构体时使用dt,不要使用x 
0:001> dt *!*IMAGE_SECTION*
          test1!IMAGE_SECTION_HEADER
          test1!PIMAGE_SECTION_HEADER
          test1!_IMAGE_SECTION_HEADER
          test1!_IMAGE_SECTION_HEADER
          test1!_IMAGE_SECTION_HEADER::<unnamed-type-Misc>
          MSVCR90D!IMAGE_SECTION_HEADER
          MSVCR90D!PIMAGE_SECTION_HEADER
          MSVCR90D!_IMAGE_SECTION_HEADER
          

0:001> dt IMAGE_SECTION_HEADER 012301d8
test1!IMAGE_SECTION_HEADER
   +0x000 Name             : [8]  ".textbss"
   +0x008 Misc             : _IMAGE_SECTION_HEADER::<unnamed-type-Misc>
   +0x00c VirtualAddress   : 0x1000
   +0x010 SizeOfRawData    : 0
   +0x014 PointerToRawData : 0
   +0x018 PointerToRelocations : 0
   +0x01c PointerToLinenumbers : 0
   +0x020 NumberOfRelocations : 0
   +0x022 NumberOfLinenumbers : 0
   +0x024 Characteristics  : 0xe00000a0
0:001> ?? sizeof(IMAGE_SECTION_HEADER)
unsigned int 0x28
0:001> dt IMAGE_SECTION_HEADER 012301d8+0x28
test1!IMAGE_SECTION_HEADER
   +0x000 Name             : [8]  ".text"
   +0x008 Misc             : _IMAGE_SECTION_HEADER::<unnamed-type-Misc>
   +0x00c VirtualAddress   : 0x11000
   +0x010 SizeOfRawData    : 0x3600
   +0x014 PointerToRawData : 0x400
   +0x018 PointerToRelocations : 0
   +0x01c PointerToLinenumbers : 0
   +0x020 NumberOfRelocations : 0
   +0x022 NumberOfLinenumbers : 0
   +0x024 Characteristics  : 0x60000020
0:001> dt IMAGE_SECTION_HEADER 012301d8+0x28*2
test1!IMAGE_SECTION_HEADER
   +0x000 Name             : [8]  ".rdata"
   +0x008 Misc             : _IMAGE_SECTION_HEADER::<unnamed-type-Misc>
   +0x00c VirtualAddress   : 0x15000
   +0x010 SizeOfRawData    : 0x1e00
   +0x014 PointerToRawData : 0x3a00
   +0x018 PointerToRelocations : 0
   +0x01c PointerToLinenumbers : 0
   +0x020 NumberOfRelocations : 0
   +0x022 NumberOfLinenumbers : 0
   +0x024 Characteristics  : 0x40000040
0:001> dt IMAGE_SECTION_HEADER 012301d8+0x28*3
test1!IMAGE_SECTION_HEADER
   +0x000 Name             : [8]  ".data"
   +0x008 Misc             : _IMAGE_SECTION_HEADER::<unnamed-type-Misc>
   +0x00c VirtualAddress   : 0x17000
   +0x010 SizeOfRawData    : 0x200
   +0x014 PointerToRawData : 0x5800
   +0x018 PointerToRelocations : 0
   +0x01c PointerToLinenumbers : 0
   +0x020 NumberOfRelocations : 0
   +0x022 NumberOfLinenumbers : 0
   +0x024 Characteristics  : 0xc0000040
0:001> dt IMAGE_SECTION_HEADER 012301d8+0x28*4
test1!IMAGE_SECTION_HEADER
   +0x000 Name             : [8]  ".idata"
   +0x008 Misc             : _IMAGE_SECTION_HEADER::<unnamed-type-Misc>
   +0x00c VirtualAddress   : 0x18000
   +0x010 SizeOfRawData    : 0xa00
   +0x014 PointerToRawData : 0x5a00
   +0x018 PointerToRelocations : 0
   +0x01c PointerToLinenumbers : 0
   +0x020 NumberOfRelocations : 0
   +0x022 NumberOfLinenumbers : 0
   +0x024 Characteristics  : 0xc0000040
0:001> dt IMAGE_SECTION_HEADER 012301d8+0x28*5
test1!IMAGE_SECTION_HEADER
   +0x000 Name             : [8]  ".rsrc"
   +0x008 Misc             : _IMAGE_SECTION_HEADER::<unnamed-type-Misc>
   +0x00c VirtualAddress   : 0x19000
   +0x010 SizeOfRawData    : 0xe00
   +0x014 PointerToRawData : 0x6400
   +0x018 PointerToRelocations : 0
   +0x01c PointerToLinenumbers : 0
   +0x020 NumberOfRelocations : 0
   +0x022 NumberOfLinenumbers : 0
   +0x024 Characteristics  : 0x40000040
0:001> dt IMAGE_SECTION_HEADER 012301d8+0x28*6
test1!IMAGE_SECTION_HEADER
   +0x000 Name             : [8]  ".reloc"
   +0x008 Misc             : _IMAGE_SECTION_HEADER::<unnamed-type-Misc>
   +0x00c VirtualAddress   : 0x1a000
   +0x010 SizeOfRawData    : 0x600
   +0x014 PointerToRawData : 0x7200
   +0x018 PointerToRelocations : 0
   +0x01c PointerToLinenumbers : 0
   +0x020 NumberOfRelocations : 0
   +0x022 NumberOfLinenumbers : 0
   +0x024 Characteristics  : 0x42000040
0:001> dt IMAGE_SECTION_HEADER 012301d8+0x28*7
test1!IMAGE_SECTION_HEADER
   +0x000 Name             : [8]  ""
   +0x008 Misc             : _IMAGE_SECTION_HEADER::<unnamed-type-Misc>
   +0x00c VirtualAddress   : 0
   +0x010 SizeOfRawData    : 0
   +0x014 PointerToRawData : 0
   +0x018 PointerToRelocations : 0
   +0x01c PointerToLinenumbers : 0
   +0x020 NumberOfRelocations : 0
   +0x022 NumberOfLinenumbers : 0
   +0x024 Characteristics  : 0

5.导入表:
导入表的入口在_IMAGE_DATA_DIRECTORY[1]中,所以取得地址 
0:001> dt _IMAGE_OPTIONAL_HEADER 01230000 +0n224+0x18 
test1!_IMAGE_OPTIONAL_HEADER

   +0x058 LoaderFlags      : 0
   +0x05c NumberOfRvaAndSizes : 0x10
   +0x060 DataDirectory    : [16] _IMAGE_DATA_DIRECTORY
0:001> ?? sizeof(_IMAGE_DATA_DIRECTORY)
unsigned int 8
0:001> dt _IMAGE_DATA_DIRECTORY 01230000 +0n224+0x18+0x68 
test1!_IMAGE_DATA_DIRECTORY
   +0x000 VirtualAddress   : 0x18000
   +0x004 Size             : 0x3c
发现IMAGE_IMPORT_DESCRIPTOR dt不到 
typedef struct _IMAGE_IMPORT_DESCRIPTOR {
    union {
        DWORD   Characteristics;            // 0 for terminating null import descriptor
        DWORD   OriginalFirstThunk;         // RVA to original unbound IAT (PIMAGE_THUNK_DATA)
    };
    DWORD   TimeDateStamp;                  // 0 if not bound,
                                            // -1 if bound, and real date\time stamp
                                            //     in IMAGE_DIRECTORY_ENTRY_BOUND_IMPORT (new BIND)
                                            // O.W. date/time stamp of DLL bound to (Old BIND)

    DWORD   ForwarderChain;                 // -1 if no forwarders
    DWORD   Name;
    DWORD   FirstThunk;                     // RVA to IAT (if bound this IAT has actual addresses)
} IMAGE_IMPORT_DESCRIPTOR;
大小明显是20,那么我们用dd来划分吧: 
0:001> dd 01230000 +0x18000 L5
01248000  0001803c 00000000 00000000 00018324
01248010  000181a8
0:001> da 00018324+01230000 
01248324  "KERNEL32.dll"
0:001> dd 01230000 +0x18000+0n20 L5
01248014  000180e8 00000000 00000000 00018346
01248024  00018254
0:001> da 00018346+01230000
01248346  "MSVCR90D.dll"
0:001> dd 01230000 +0x18000+0n20*2 L5
01248028  00000000 00000000 00000000 00000000
01248038  00000000
Name为0表示没有其他导入表了
6.查找导入函数
这是在运行中的PE文件,所以使用FirstThunk  
0:001> dds 0x181a8+0x1230000
012481a8  76b63485 kernel32!CreateThread
012481ac  76b617e9 kernel32!GetCurrentProcess
012481b0  76b7d7d2 kernel32!TerminateProcess
012481b4  76b63478 kernel32!FreeLibrary
012481b8  76b64412 kernel32!VirtualQuery
012481bc  76b64908 kernel32!GetModuleFileNameW
012481c0  76b614c9 kernel32!GetProcessHeap
012481c4  77dfe046 ntdll!RtlAllocateHeap
012481c8  76b614a9 kernel32!HeapFree
012481cc  76b634b9 kernel32!GetSystemTimeAsFileTime
012481d0  76b611f8 kernel32!GetCurrentProcessId
012481d4  76b61430 kernel32!GetCurrentThreadId
012481d8  76b6110c kernel32!GetTickCount
012481dc  76b61705 kernel32!QueryPerformanceCounter
012481e0  76b68781 kernel32!SetUnhandledExceptionFilter
012481e4  76b6498f kernel32!LoadLibraryA
012481e8  76b61222 kernel32!GetProcAddress
012481ec  76b65a03 kernel32!lstrlen
012481f0  76b6190e kernel32!MultiByteToWideChar
012481f4  76b616ed kernel32!WideCharToMultiByte
012481f8  76be4755 kernel32!DebugBreak
012481fc  76b6585e kernel32!RaiseException
01248200  76b64a15 kernel32!IsDebuggerPresent
01248204  76b61464 kernel32!InterlockedCompareExchange
01248208  76b610ff kernel32!Sleep
0124820c  76b61442 kernel32!InterlockedExchange
01248210  76b876f7 kernel32!UnhandledExceptionFilter
01248214  00000000

0:001> dds 00018254+0x1230000
01248254  6a4df8d0 MSVCR90D!__dllonexit [f:\dd\vctools\crt_bld\self_x86\crt\src\onexit.c @ 267]
01248258  6a44d430 MSVCR90D!_lock [f:\dd\vctools\crt_bld\self_x86\crt\src\mlock.c @ 333]
0124825c  6a44d480 MSVCR90D!_unlock [f:\dd\vctools\crt_bld\self_x86\crt\src\mlock.c @ 371]
01248260  6a44e170 MSVCR90D!_decode_pointer [f:\dd\vctools\crt_bld\self_x86\crt\src\tidtable.c @ 161]
01248264  6a4eca80 MSVCR90D!_except_handler4_common
01248268  6a4ec880 MSVCR90D!_crt_debugger_hook [f:\dd\vctools\crt_bld\self_x86\crt\src\dbghook.c @ 62]
0124826c  6a4df460 MSVCR90D!_invoke_watson [f:\dd\vctools\crt_bld\self_x86\crt\src\invarg.c @ 137]
01248270  6a4fbc20 MSVCR90D!_controlfp_s
01248274  6a4c0280 MSVCR90D!terminate [f:\dd\vctools\crt_bld\self_x86\crt\prebuild\eh\hooks.cpp @ 95]
01248278  6a44c040 MSVCR90D!_initterm_e [f:\dd\vctools\crt_bld\self_x86\crt\src\crt0dat.c @ 938]
0124827c  6a44c010 MSVCR90D!_initterm [f:\dd\vctools\crt_bld\self_x86\crt\src\crt0dat.c @ 889]
01248280  6a4de7b0 MSVCR90D!_CrtDbgReportW [f:\dd\vctools\crt_bld\self_x86\crt\src\dbgrpt.c @ 252]
01248284  6a4e3010 MSVCR90D!_CrtSetCheckCount [f:\dd\vctools\crt_bld\self_x86\crt\src\dbgheap.c @ 3241]
01248288  6a525768 MSVCR90D!__winitenv
0124828c  6a44b9d0 MSVCR90D!exit [f:\dd\vctools\crt_bld\self_x86\crt\src\crt0dat.c @ 411]
01248290  6a44ba10 MSVCR90D!_cexit [f:\dd\vctools\crt_bld\self_x86\crt\src\crt0dat.c @ 426]
01248294  6a4e32e0 MSVCR90D!_XcptFilter [f:\dd\vctools\crt_bld\self_x86\crt\src\winxfltr.c @ 206]
01248298  6a44b9f0 MSVCR90D!_exit [f:\dd\vctools\crt_bld\self_x86\crt\src\crt0dat.c @ 419]
0124829c  6a44c600 MSVCR90D!__wgetmainargs [f:\dd\vctools\crt_bld\self_x86\crt\src\crtlib.c @ 98]
012482a0  6a44ba50 MSVCR90D!_amsg_exit [f:\dd\vctools\crt_bld\self_x86\crt\src\crt0dat.c @ 460]
012482a4  6a44ad60 MSVCR90D!__set_app_type [f:\dd\vctools\crt_bld\self_x86\crt\src\errmode.c @ 87]
012482a8  6a44e070 MSVCR90D!_encode_pointer [f:\dd\vctools\crt_bld\self_x86\crt\src\tidtable.c @ 86]
012482ac  6a44cf90 MSVCR90D!__p__fmode [f:\dd\vctools\crt_bld\self_x86\crt\src\crtlib.c @ 748]
012482b0  6a44cef0 MSVCR90D!__p__commode [f:\dd\vctools\crt_bld\self_x86\crt\src\crtlib.c @ 714]
012482b4  6a5266cc MSVCR90D!_adjust_fdiv
012482b8  6a44ada0 MSVCR90D!__setusermatherr
012482bc  6a4e6d80 MSVCR90D!_configthreadlocale [f:\dd\vctools\crt_bld\self_x86\crt\src\setlocal.c @ 420]
012482c0  6a4eb420 MSVCR90D!_CRT_RTC_INITW
012482c4  6a462450 MSVCR90D!getchar [f:\dd\vctools\crt_bld\self_x86\crt\src\fgetchar.c @ 45]
012482c8  6a46abb0 MSVCR90D!printf [f:\dd\vctools\crt_bld\self_x86\crt\src\printf.c @ 49]
012482cc  6a4df660 MSVCR90D!_onexit [f:\dd\vctools\crt_bld\self_x86\crt\src\onexit.c @ 85]
012482d0  6a4cd680 MSVCR90D!operator new [f:\dd\vctools\crt_bld\self_x86\crt\src\new.cpp @ 57]

也可以通过 
OriginalFirstThunk
来查找,先找到列表:1803c为Kernel32项第一个DWORD 
typedef struct _IMAGE_THUNK_DATA32 {
    union {
        DWORD ForwarderString;      // PBYTE 指向一个转向者字符串的RVA
        DWORD Function;             // PDWORD被输入函数的内存地址
        DWORD Ordinal;              // 被输入的API序数号 
        DWORD AddressOfData;        // PIMAGE_IMPORT_BY_NAME
    } u1;
} IMAGE_THUNK_DATA32;
这个函数同样在我的exe上没有找到,但很明显,这是一个4字节的数组 
0:001> dd 0x1803c+0x1230000
0124803c  00018314 000186e4 000186d0 000186c2
0124804c  000186b2 0001869c 0001868a 0001867e
0124805c  00018672 00018658 00018642 0001862c
0124806c  0001861c 00018602 000185e4 000185d4
0124807c  000185c2 000185b6 000185a0 0001858a
0124808c  0001857c 0001856a 00018556 00018538
0124809c  00018530 0001851a 000186f8 00000000
012480ac  00000000 00000000 00000000 00000000
然后这里面的内存又指向以下结构 
typedef struct _IMAGE_IMPORT_BY_NAME {
    WORD    Hint;
    BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME, *PIMAGE_IMPORT_BY_NAME;
所以有: 
0:001> da 00018314+0x1230000+2
01248316  "CreateThread"
0:001> da 000186e4+0x1230000+2
012486e6  "GetCurrentProcess"
............................................................









你可能感兴趣的:(windbg)

  • windows汇编 张某人的胡思乱想 汇编
    今天发现一个很好的视频,讲windows汇编/调试等。是个老太太讲的,但是讲的真好。Create/Assemble/Linkx64Windowsasmexe,DebuggingToolsforWindows(WinDbg),stackshadowstore.照例边看边记录边实验。1.installvisualstudio2.installvscode3.installwindbgDebugging
  • 入门逆向-入土为安的第二十五天 丸卜 网络安全
    逆向工程基本概念目标:逆向工程的主要目标是理解程序的逻辑、数据流和执行流程,以便找到隐藏的信息或解决CTF中的挑战。常见文件类型:可执行文件(如ELF、PE文件)脚本文件(如Python,JavaScript,etc.)固件(嵌入式设备中的二进制文件)工具:反汇编工具:如IDAPro,Ghidra,Radare2,辅助将二进制文件转换为可读的汇编代码。调试工具:如GDB,x64dbg,WinDbg
  • 【原创】NTFS文件系统底层挖掘 cosmoslife 驱动开发学习systemdb2windowslistviewshellc
    标题:【原创】NTFS文件系统底层挖掘作者:sudami时间:2009-05-02,23:37:18链接:http://bbs.pediy.com/showthread.php?t=87741貌似关于NTFS文件系统的底层实现细节,网上资料很少.这几天突然来了兴趣,于是挖掘了一下.结合nt4src,IDA+ntfs.sys,windbg+VMWare,在XPSP2下,深入理解了一些NTFS文件系统
  • 聊一聊 .NET Dump 中的 Linux信号机制 一线码农 .netwindbgc#linux
    一:背景1.讲故事当.NET程序在Linux上崩溃时,我们可以配置一些参考拿到对应程序的core文件,拿到core文件后用windbg打开,往往会看到这样的一句信息SignalSIGABRTcodeSI_USER(Sentbykill,sigsend,raise),参考如下:(1.1d):SignalSIGABRTcodeSI_USER(Sentbykill,sigsend,raise)libc_
  • 排查C++软件异常的常见思路与方法(实战经验总结) dvlinker C/C++实战专栏C/C++软件开发从入门到实战C++软件异常排查方法IDE调试添加打印日志分块注释代码历史版本比对法Windbg静态分析与静态调试
    目录1、概述2、软件异常的分类与排查3、常用的C++异常排查思路与方法3.1、IDE调试3.1.1、Debug和Release下的调试3.1.2、VS附加到进程调试3.1.3、Windbg附加到进程调试3.2、添加日志打印3.3、分块注释代码3.4、数据断点3.5、历史版本比对法3.6、Windbg静态分析与动态调试3.6.1、使用Windbg静态分析dump文件3.6.2、使用Windbg动态调
  • 使用Windbg分析dump文件定位软件异常的方法与操作步骤 dvlinker C++软件调试异常排查WindbgWindbg命令dump文件pdb符号文件函数调用堆栈
    目录1、Windbg简介2、Windbg版本与安装3、Windbg常用命令4、静态分析dump文件的一般步骤4.1、查看异常类型4.2、使用.ecxr命令切换到发生异常的线程上下文,查看发生异常的那条汇编指令4.3、使用kn/kv/kp命令查看异常发生时的函数调用堆栈4.4、使用lm命令查看模块的时间戳,找到对应的pdb文件,设置到Windbg中5、实战问题分析实例说明6、使用Windbg详细分析
  • 通过查看Windbg中变量的值,快速定位因内存不足引发bad alloc异常(C++ EH exception - code e06d7363)导致程序崩溃的问题 dvlinker C/C++实战专栏C++软件调试codee06d7363Windbg内存不足badalloc内存申请失败
    目录1、概述2、C++EHexception-codee06d7363与标准C++异常2.1、C++EHexception-codee06d7363说明2.2、C++标准库与C++异常2.2.1、C++抛出异常与捕获异常2.2.2、C++异常类3、查看函数调用堆栈,发现抛出了badalloc内存分配失败的异常4、在调用堆栈中看到CreateBmp创建位图的接口,怀疑可能是使用了异常大的宽高值,导致
  • C/C++程序员为什么要了解汇编?了解汇编有哪些好处?如何学习汇编? dvlinker C/C++实战专栏C/C++软件开发从入门到实战C/C++汇编为什么要了解汇编了解汇编有哪些好处如何学习汇编IDA反汇编工具汇编指令
    目录1、概述2、从汇编的角度去理解问题的若干实例说明2.1、使用空指针去访问类的数据成员或调用类的虚函数为什么会引发崩溃?2.2、从汇编代码的角度去理解多线程的执行细节,去理解多线程在访问共享资源时为什么要加锁2.3、使用Windbg静态分析dump时先从崩溃的那条汇编指令中得到初步的线索3、了解汇编有哪些具体的好处?3.1、在代码中插入汇编代码块,提升代码的执行效率3.2、在分析C++软件异常时
  • VMware安装Kali(虚拟机压缩包)&设置Windbg调试符号 wave_sky linux运维服务器
    下载完成后会得到一个.7z的压缩包:kali-linux-2024.2-vmware-amd64.7z,需要对其进行解压自己找个地方创建一个文件夹(虚拟机目录),将kali-linux-2024.2-vmware-amd64.vmwarevm整个文件夹放进去打开VMware虚拟机:文件->打开,找到kali-linux-2024.2-vmware-amd64.vmwarevm文件夹,选择的文件是.
  • 如何让C++程序自动生成dump文件?以及如何分析dump文件? dvlinker C/C++实战专栏C/C++软件开发从入门到实战c++生成dump文件windbg分析dump文件
    目录1、API函数SetUnhandledExceptionFilter介绍2、调用SetUnhandledExceptionFilter设置异常处理函数3、调用MiniDumpWriteDump函数导出包含异常上下文的dump文件4、dump文件的多种生成方式5、使用Windbg分析dump文件6、最后C++软件异常排查从入门到精通系列教程(专栏文章列表,欢迎订阅,持续更新...)https:/
  • C/C++运行时库和UCRT系统通用运行时库总结及问题实例分享(程序打包时要带上这些运行时库) dvlinker C/C++软件开发从入门到实战C/C++实战专栏VisualStudioC/C++运行时库UCRT通用运行时库ProcessExplorer32位64位
    目录1、概述2、不同版本的VisualStudio对应的运行时库说明3、在Windbg10.0安装目录中获取UCRT通用运行时库4、微软官网对UCRT通用运行时库的相关说明5、使用VisualStudio2017开发软件初期遇到的UCRT通用运行时库问题6、如何查看软件依赖了哪些C/C++运行时库?7、将软件从32位升级到64位后,要使用64位UCRT通用运行时库8、发布软件时未打包C/C++运行
  • 在MacOS上怎样远程调试PC的内核驱动程序 捕鲸叉 软件调试和诊断macos软件调试诊断调试
    在macOS上远程调试Windows或LinuxPC的内核驱动程序是一个复杂的过程,因为macOS并没有直接支持内核调试的工具。通常需要借助交叉调试工具链和虚拟化技术来实现。以下是详细的步骤和方法,分为远程调试Windows内核驱动程序和远程调试Linux内核驱动程序两部分。1.远程调试Windows内核驱动程序(从macOS)由于Windows内核调试工具(如WinDbg)不直接支持macOS,
  • C++开发值得推荐的十大高效软件分析工具 dvlinker C/C++软件开发从入门到实战C/C++实战专栏C++常用分析工具WindbgIDAProcessExplorerProcessMonitorAPIMonitor
    目录1、概述2、高效软件工具介绍2.1、窗口查看工具SPY++2.2、DependencyWalker2.3、剪切板查看工具Clipbrd2.4、GDI对象查看工具GDIView2.5、ProcessExplorer2.6、PrcoessMonitor2.7、APIMonitor2.8、调试器Windbg2.9、反汇编工具IDA2.10、抓包工具Wireshark3、总结C++软件异常排查从入门到
  • 使用Windbg调试目标程序去分析异常的两实战案例分享 dvlinker Windbg动态调试附加到进程动态启动进程dump文件pdb文件静态分析
    目录1、前言2、案例1:程序退出时弹出报错提示框2.1、问题说明2.2、到系统应用程序日志中看系统有没有自动生成dump文件2.3、将Windbg附加到目标程序上进行动态调试3、案例2:程序在运行过程中弹出ASSERT断言提示框3.1、问题说明3.2、将Windbg附加到进程上调试3.3、Windbg是如何找到pdb文件的?4、使用Windbg静态分析dump文件以及动态调试目标进程的一般步骤5、
  • 用windbg调试uefi在hyper-v 王cb windowswindows
    添加环境变量CLANG_BIN=C:\ProgramFiles\NASM\NASM_PREFIX=C:\ProgramFiles\NASM\添加pathC:\ProgramFiles(x86)\WindowsKits\10\Tools\x64\ACPIVerify修改edk2-master\Conf\target.txtTARGET_ARCH=X64编译这两个包#ACTIVE_PLATFORM=E
  • 隔壁工程师都馋哭了我的逆向工程IDA,说要给我搓背捏脚 kali_Ma 网络安全信息安全逆向工程渗透测试安全漏洞
    逆向工程IDA主要内容涉及到的内容如下:1、内核对象及内核对象管理;2、进程回调;3、内核调试;4、Windbg双击调试;引言1进程回调原理分析1.1安装与卸载逆向分析1.2OS执行回调例程分析1.3触发调用的调用链分析2实验2.1观察系统中已安装的回调例程3结束语主要内容针对进程行为的监控需求,以往很多安全软件都是采用的Hook技术拦截关键的系统调用,来实现对恶意软件进程创建的拦截。但在x64架
  • 关于Win7 x64下过TP保护(内核层)(转) 小手冰凉__ 逆向逆向
    调试对象:DXF调试工具:OD、Windbg调试环境:Win7SP1X64内核层部分:x64下因为有PatchGuard的限制,很多保护都被巨硬给抹掉了。比如SSDTHookInlineHook所以TP无法继续使用这些保护手段了。除非腾Xun冒着被巨硬吊销数字签名的风险来阻止我们调试。我曾经在看雪论坛里看过有个人写的文章,它亲自测试在x64环境下清零调试端口,结果发生了蓝屏,所以在x64下TP是不
  • XP上的ReadProcessMemorry读取其他线程导致崩溃 nLif XP_chkstk
    http://voneinem-windbg.blogspot.com/2008/02/shooting-pageguard-flag-with.html转自这篇链接XP上存在BUG,当一个线程ReadProcessMemory到另一个线程的内存时,会导致PAGE_GUARD丢失,另一个线程将失去chkstk的能力,会无法扩展堆栈相关的逻辑制成测试代码如下:PBYTEg_pStart1Thread
  • VC++ 崩溃处理以及打印调用堆栈 一叶障目
    我们在程序发布后总会面临崩溃的情况,这个时候一般很难重现或者很难定位到程序崩溃的位置,之前有方法在程序崩溃的时候记录dump文件然后通过windbg来分析。那种方法对开发人员的要求较高,它需要程序员理解内存、寄存器等等一系列概念还需要手动加载对应的符号表。Java、Python等等语言在崩溃的时候都会打印一条异常的堆栈信息并告诉用户那块出错了,根据这个信息程序员可以很容易找到对应的代码位置并进行处
  • 使用Process Explorer/Process Hacker和Windbg高效排查软件高CPU占用问题 dvlinker 高CPU占用ProcessExplorerProcessHackerWindbg函数调用堆栈
    目录1、为什么需要将ProcessExplorer/ProcessHacker与Windbg结合起来分析高CPU占用问题?
  • Windows内核面试题(持续更新,目前完成度30%约1.8万字) 虚构之人 c++win内核内核面试c++
    WINDOWS内核编程问题与答案1.WDK和SDK的区别是什么2.WDK全称叫做3.如何创建WDK程序4.WinDbg如何连接虚拟机5.Windows内核符号表的作用6.如何设置内核符号表与源文件7.如何设置断点与源码调试8.什么时候共享内核空间9.内核模块与驱动程序的区别是什么10.内核模块运行在什么空间11.PsGetCurrentProcessId函数的作用是什么12.System进程的作用
  • 用 WinDbg 诊断CPU占用高 __lhy C#windows
    下载WinDbg,http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx我是win10,下载了这个:http://download.microsoft.com/download/6/3/B/63BADCE0-F2E6-44BD-B2F9-60F5F073038E/standalonesdk/SDKSETUP.EXE安装WinDb
  • Windows驱动开发之环境搭建,长期Waiting for connecting...思路 port9527 Windowswindows驱动开发
    Windows驱动开发之环境搭建1、前期准备Vmware虚拟机软件Windows10iso安装包VisualStudio2022IDE软件SDK安装(一定要勾选上debug选项,windbg在里面)WDK(Windows驱动程序工具包)WDK安装请参考官方文档:下载Windows驱动程序工具包(WDK)-Windowsdrivers|MicrosoftLearn第一步:开发环境搭建注意事项:在安装
  • Win7 禁止Ctrl+Alt+Del、Win+L等任意系统热键(利用IDA,windbg等工具分析) zhoujiaxq windows
    标题:【原创】Win7修改Winlogon.exe进程一个字节禁止Ctrl+Alt+Del、Win+L等任意系统热键作者:heiheiabcd时间:2012-12-01,10:08:55链接:http://bbs.pediy.com/showthread.php?t=159346由于想做个屏幕锁程序,因此想研究了下Win7的Ctrl+Alt+Del,我对win7的安全机制一点都不懂,希望有不对的地
  • 记一次 .NET某工控自动化系统 崩溃分析 一线码农 .netwindbgc#多线程
    一:背景1.讲故事前些天微信上有位朋友找到我,说他的程序偶发崩溃,分析了个把星期也没找到问题,耗费了不少人力物力,让我能不能帮他看一下,给我申请了经费,哈哈,遇到这样的朋友就是爽快,刚好周二晚上给调试训练营的朋友分享GC标记阶段相关知识,而这个dump所展示的问题是对这块知识的一个很好的巩固,接下来我们开始分析吧。二:WinDbg分析1.为什么会崩溃要想找到崩溃原因,还是用老命令!analyze-
  • WinDbg常用指令 next 猫 c语言开发语言后端
    1.r:显示寄存器的信息也可用来更改寄存器信息2.a:使用汇编的格式在内存中写入一条机器指令。3.p/t指令:执行内存单元中的指令。p命令执行单个指令或源代码行,并可选地显示所有寄存器和标志的结果值。当子例程调用或中断发生时,它们被视为单个步骤。用户模式:1[~Thread]p[r][=StartAddress][Count]["Command"]内核模式:1p[r][=StartAddress]
  • Windbg内核调试之二: 常用命令 weixin_33881140 操作系统数据结构与算法
    运用Windbg进行内核调试,熟练的运用命令行是必不可少的技能.但是面对众多繁琐的命令,实在是不可能全部的了解和掌握.而了解Kernel正是需要这些命令的指引,不断深入理解其基本的内容.下面,将介绍最常用的一些指令,使初学Kernel调试的朋友们能有一个大致的了解.至于如何熟练的运用它们,还需要实际的操作过程中进行反复的琢磨.Windbg能够方便的进行远程调试和本地进程调试(只限于User模式),
  • Windbg 常用命令 垂钓者1号 Windbgc#windows
    博主分析案例:GitHub-ctripxchuang/dotnetfly:关注windbg在.NET领域下的探究,带你一起解读程序的用户态和内核态!1.!analyze-v有些命令需要先执行这个2.!address-summary查看总的进程内存,红色方框MEM_COMMIT为进程总内存,Heap为非托管堆内存3.!eeheap-gc查看托管堆内存4.!heap-s查看非托管堆情况5.!dumph
  • Windbg常用命令备忘 buuaKa
    Windbg常用命令备忘windbg是一款微软推出的专业实用的源码调试工具软件1、符号表下载方法:使用命令下载对应的符号表symchk/rc:\windows\system32\k*/sSRV*c:\symbols\*https://msdl.microsoft.com/download/symbols,然后就能在c:\symbols目录下得到对应dll的符号表;2、windbg调试windows
  • windbg 常用调试命令总结 就是那个党伟 软件调试windbg
    引用:windows码农屠龙手册参考官方文档:使用WinDbg进行调试-Windowsdrivers|MicrosoftDocs寄存器含义:寄存器含义windbg下载地址:x64:http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/setup/WinSDKDebuggingTools_a
  • 项目中 枚举与注解的结合使用 飞翔的马甲 javaenumannotation
    前言:版本兼容,一直是迭代开发头疼的事,最近新版本加上了支持新题型,如果新创建一份问卷包含了新题型,那旧版本客户端就不支持,如果新创建的问卷不包含新题型,那么新旧客户端都支持。这里面我们通过给问卷类型枚举增加自定义注解的方式完成。顺便巩固下枚举与注解。 一、枚举 1.在创建枚举类的时候,该类已继承java.lang.Enum类,所以自定义枚举类无法继承别的类,但可以实现接口。
  • 【Scala十七】Scala核心十一:下划线_的用法 bit1129 scala
    下划线_在Scala中广泛应用,_的基本含义是作为占位符使用。_在使用时是出问题非常多的地方,本文将不断完善_的使用场景以及所表达的含义   1. 在高阶函数中使用 scala> val list = List(-3,8,7,9) list: List[Int] = List(-3, 8, 7, 9) scala> list.filter(_ > 7) r
  • web缓存基础:术语、http报头和缓存策略 dalan_123 Web
    对于很多人来说,去访问某一个站点,若是该站点能够提供智能化的内容缓存来提高用户体验,那么最终该站点的访问者将络绎不绝。缓存或者对之前的请求临时存储,是http协议实现中最核心的内容分发策略之一。分发路径中的组件均可以缓存内容来加速后续的请求,这是受控于对该内容所声明的缓存策略。接下来将讨web内容缓存策略的基本概念,具体包括如如何选择缓存策略以保证互联网范围内的缓存能够正确处理的您的内容,并谈论下
  • crontab 问题 周凡杨 linuxcrontabunix
      一: 0481-079   Reached   a   symbol   that   is   not   expected.   背景: */5   *   *   *   *  /usr/IBMIHS/rsync.sh 
  • 让tomcat支持2级域名共享session g21121 session
    tomcat默认情况下是不支持2级域名共享session的,所有有些情况下登陆后从主域名跳转到子域名会发生链接session不相同的情况,但是只需修改几处配置就可以了。 打开tomcat下conf下context.xml文件 找到Context标签,修改为如下内容 如果你的域名是www.test.com <Context sessionCookiePath="/path&q
  • web报表工具FineReport常用函数的用法总结(数学和三角函数) 老A不折腾 Webfinereport总结
      ABS ABS(number):返回指定数字的绝对值。绝对值是指没有正负符号的数值。 Number:需要求出绝对值的任意实数。 示例: ABS(-1.5)等于1.5。 ABS(0)等于0。 ABS(2.5)等于2.5。   ACOS ACOS(number):返回指定数值的反余弦值。反余弦值为一个角度,返回角度以弧度形式表示。 Number:需要返回角
  • linux 启动java进程 sh文件 墙头上一根草 linuxshelljar
    #!/bin/bash #初始化服务器的进程PId变量 user_pid=0; robot_pid=0; loadlort_pid=0; gateway_pid=0; ######### #检查相关服务器是否启动成功 #说明: #使用JDK自带的JPS命令及grep命令组合,准确查找pid #jps 加 l 参数,表示显示java的完整包路径 #使用awk,分割出pid
  • 我的spring学习笔记5-如何使用ApplicationContext替换BeanFactory aijuans Spring 3 系列
    如何使用ApplicationContext替换BeanFactory? package onlyfun.caterpillar.device; import org.springframework.beans.factory.BeanFactory; import org.springframework.beans.factory.xml.XmlBeanFactory; import
  • Linux 内存使用方法详细解析 annan211 linux内存Linux内存解析
    来源 http://blog.jobbole.com/45748/ 我是一名程序员,那么我在这里以一个程序员的角度来讲解Linux内存的使用。 一提到内存管理,我们头脑中闪出的两个概念,就是虚拟内存,与物理内存。这两个概念主要来自于linux内核的支持。 Linux在内存管理上份为两级,一级是线性区,类似于00c73000-00c88000,对应于虚拟内存,它实际上不占用
  • 数据库的单表查询常用命令及使用方法(-) 百合不是茶 oracle函数单表查询
        创建数据库;       --建表 create table bloguser(username varchar2(20),userage number(10),usersex char(2));       创建bloguser表,里面有三个字段     &nbs
  • 多线程基础知识 bijian1013 java多线程threadjava多线程
    一.进程和线程 进程就是一个在内存中独立运行的程序,有自己的地址空间。如正在运行的写字板程序就是一个进程。 “多任务”:指操作系统能同时运行多个进程(程序)。如WINDOWS系统可以同时运行写字板程序、画图程序、WORD、Eclipse等。 线程:是进程内部单一的一个顺序控制流。 线程和进程 a.       每个进程都有独立的
  • fastjson简单使用实例 bijian1013 fastjson
    一.简介         阿里巴巴fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库;包括“序列化”和“反序列化”两部分,它具备如下特征:     
  • 【RPC框架Burlap】Spring集成Burlap bit1129 spring
    Burlap和Hessian同属于codehaus的RPC调用框架,但是Burlap已经几年不更新,所以Spring在4.0里已经将Burlap的支持置为Deprecated,所以在选择RPC框架时,不应该考虑Burlap了。 这篇文章还是记录下Burlap的用法吧,主要是复制粘贴了Hessian与Spring集成一文,【RPC框架Hessian四】Hessian与Spring集成  
  • 【Mahout一】基于Mahout 命令参数含义 bit1129 Mahout
    1. mahout seqdirectory   $ mahout seqdirectory --input (-i) input Path to job input directory(原始文本文件). --output (-o) output The directory pathna
  • linux使用flock文件锁解决脚本重复执行问题 ronin47 linux lock 重复执行
    linux的crontab命令,可以定时执行操作,最小周期是每分钟执行一次。关于crontab实现每秒执行可参考我之前的文章《linux crontab 实现每秒执行》现在有个问题,如果设定了任务每分钟执行一次,但有可能一分钟内任务并没有执行完成,这时系统会再执行任务。导致两个相同的任务在执行。 例如: <? //  test .php
  • java-74-数组中有一个数字出现的次数超过了数组长度的一半,找出这个数字 bylijinnan java
    public class OcuppyMoreThanHalf { /** * Q74 数组中有一个数字出现的次数超过了数组长度的一半,找出这个数字 * two solutions: * 1.O(n) * see <beauty of coding>--每次删除两个不同的数字,不改变数组的特性 * 2.O(nlogn) * 排序。中间
  • linux 系统相关命令 candiio linux
    系统参数 cat /proc/cpuinfo  cpu相关参数 cat /proc/meminfo 内存相关参数 cat /proc/loadavg 负载情况 性能参数 1)top M:按内存使用排序 P:按CPU占用排序 1:显示各CPU的使用情况 k:kill进程 o:更多排序规则 回车:刷新数据 2)ulimit ulimit -a:显示本用户的系统限制参
  • [经营与资产]保持独立性和稳定性对于软件开发的重要意义 comsci 软件开发
         一个软件的架构从诞生到成熟,中间要经过很多次的修正和改造       如果在这个过程中,外界的其它行业的资本不断的介入这种软件架构的升级过程中           那么软件开发者原有的设计思想和开发路线
  • 在CentOS5.5上编译OpenJDK6 Cwind linuxOpenJDK
    几番周折终于在自己的CentOS5.5上编译成功了OpenJDK6,将编译过程和遇到的问题作一简要记录,备查。 0. OpenJDK介绍 OpenJDK是Sun(现Oracle)公司发布的基于GPL许可的Java平台的实现。其优点: 1、它的核心代码与同时期Sun(-> Oracle)的产品版基本上是一样的,血统纯正,不用担心性能问题,也基本上没什么兼容性问题;(代码上最主要的差异是
  • java乱码问题 dashuaifu java乱码问题js中文乱码
    swfupload上传文件参数值为中文传递到后台接收中文乱码     在js中用setPostParams({"tag" : encodeURI( document.getElementByIdx_x("filetag").value,"utf-8")}); 然后在servlet中String t
  • cygwin很多命令显示command not found的解决办法 dcj3sjt126com cygwin
    cygwin很多命令显示command not found的解决办法   修改cygwin.BAT文件如下 @echo off D: set CYGWIN=tty notitle glob set PATH=%PATH%;d:\cygwin\bin;d:\cygwin\sbin;d:\cygwin\usr\bin;d:\cygwin\usr\sbin;d:\cygwin\us
  • [介绍]从 Yii 1.1 升级 dcj3sjt126com PHPyii2
    2.0 版框架是完全重写的,在 1.1 和 2.0 两个版本之间存在相当多差异。因此从 1.1 版升级并不像小版本间的跨越那么简单,通过本指南你将会了解两个版本间主要的不同之处。 如果你之前没有用过 Yii 1.1,可以跳过本章,直接从"入门篇"开始读起。 请注意,Yii 2.0 引入了很多本章并没有涉及到的新功能。强烈建议你通读整部权威指南来了解所有新特性。这样有可能会发
  • Linux SSH免登录配置总结 eksliang ssh-keygenLinux SSH免登录认证Linux SSH互信
    转载请出自出处:http://eksliang.iteye.com/blog/2187265 一、原理      我们使用ssh-keygen在ServerA上生成私钥跟公钥,将生成的公钥拷贝到远程机器ServerB上后,就可以使用ssh命令无需密码登录到另外一台机器ServerB上。      生成公钥与私钥有两种加密方式,第一种是
  • 手势滑动销毁Activity gundumw100 android
    老是效仿ios,做android的真悲催! 有需求:需要手势滑动销毁一个Activity 怎么办尼?自己写? 不用~,网上先问一下百度。 结果: http://blog.csdn.net/xiaanming/article/details/20934541 首先将你需要的Activity继承SwipeBackActivity,它会在你的布局根目录新增一层SwipeBackLay
  • JavaScript变换表格边框颜色 ini JavaScripthtmlWebhtml5css
    效果查看:http://hovertree.com/texiao/js/2.htm代码如下,保存到HTML文件也可以查看效果: <html> <head> <meta charset="utf-8"> <title>表格边框变换颜色代码-何问起</title> </head> <body&
  • Kafka Rest : Confluent kane_xie kafkaRESTconfluent
    最近拿到一个kafka rest的需求,但kafka暂时还没有提供rest api(应该是有在开发中,毕竟rest这么火),上网搜了一下,找到一个Confluent Platform,本文简单介绍一下安装。 这里插一句,给大家推荐一个九尾搜索,原名叫谷粉SOSO,不想fanqiang谷歌的可以用这个。以前在外企用谷歌用习惯了,出来之后用度娘搜技术问题,那匹配度简直感人。 环境声明:Ubu
  • Calender不是单例 men4661273 单例Calender
             在我们使用Calender的时候,使用过Calendar.getInstance()来获取一个日期类的对象,这种方式跟单例的获取方式一样,那么它到底是不是单例呢,如果是单例的话,一个对象修改内容之后,另外一个线程中的数据不久乱套了吗?从试验以及源码中可以得出,Calendar不是单例。 测试: Calendar c1 =
  • 线程内存和主内存之间联系 qifeifei java thread
    1, java多线程共享主内存中变量的时候,一共会经过几个阶段,    lock:将主内存中的变量锁定,为一个线程所独占。   unclock:将lock加的锁定解除,此时其它的线程可以有机会访问此变量。   read:将主内存中的变量值读到工作内存当中。   load:将read读取的值保存到工作内存中的变量副本中。  
  • schedule和scheduleAtFixedRate tangqi609567707 javatimerschedule
    原文地址:http://blog.csdn.net/weidan1121/article/details/527307 import java.util.Timer;import java.util.TimerTask;import java.util.Date; /** * @author vincent */public class TimerTest {  
  • erlang 部署 wudixiaotie erlang
    1.如果在启动节点的时候报这个错 : {"init terminating in do_boot",{'cannot load',elf_format,get_files}} 则需要在reltool.config中加入 {app, hipe, [{incl_cond, exclude}]},     2.当generate时,遇到: ERROR
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他