windbg检查常用命令

作者：众神痴梦_325 | 来源：互联网 | 2024-10-17 13:44

1、dt视图结构内容dt+结构名要么dt+结构名+住址kddt_object_headernt!_OBJECT_HEADER+0x000PointerCount:Int4B+0x

1、dt 视图结构内容

dt + 结构名要么 dt + 结构名 + 住址

kd> dt _object_header
nt!_OBJECT_HEADER
   +0x000 PointerCount     : Int4B
   +0x004 HandleCount      : Int4B
   +0x004 NextToFree       : Ptr32 Void
   +0x008 Type             : Ptr32 _OBJECT_TYPE
   +0x00c NameInfoOffset   : UChar
   +0x00d HandleInfoOffset : UChar
   +0x00e QuotaInfoOffset  : UChar
   +0x00f Flags            : UChar
   +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : Ptr32 Void
   +0x014 SecurityDescriptor : Ptr32 Void
   +0x018 Body             : _QUAD

kd> dt _object_header 0x88132d58  //此地址我本机某对象头的地址
nt!_OBJECT_HEADER
   +0x000 PointerCount     : 2
   +0x004 HandleCount      : 0
   +0x004 NextToFree       : (null) 
   +0x008 Type             : 0x884ee288 _OBJECT_TYPE
   +0x00c NameInfoOffset   : 0x10 &＃39;&＃39;
   +0x00d HandleInfoOffset : 0 &＃39;&＃39;
   +0x00e QuotaInfoOffset  : 0x20 &＃39; &＃39;
   +0x00f Flags            : 0x1a &＃39;&＃39;
   +0x010 ObjectCreateInfo : 0x00000001 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : 0x00000001 
   +0x014 SecurityDescriptor : (null) 
   +0x018 Body             : _QUAD

kd> dt _OBJECT_HEADER_NAME_INFO 0x88132d48  //对象名
nt!_OBJECT_HEADER_NAME_INFO
   +0x000 Directory        : 0xe10067f0 _OBJECT_DIRECTORY
   +0x004 Name             : _UNICODE_STRING "KeRead"
   +0x00c QueryReferences  : 1

kd> dt _UNICODE_STRING 0x88132d4C
nt!_UNICODE_STRING
 "KeRead"
   +0x000 Length           : 0xc
   +0x002 MaximumLength    : 0xc
   +0x004 Buffer           : 0xe2164968  "KeRead"

2、dd等将内存地址的内容以四字节等显示出来

dd + 地址

dd e2164968
e2164968  0065004b 00650052 00640061 5112730d
e2164978  00080403 e24e4d43 e2164a80 e216b008
e2164988  00000000 417b0026 36334444 2d384141
e2164998  41313537 3735342d 32412d39 442d3636
e21649a8  35463636 43323032 7d424243 00000000
e21649b8  0c080408 e24e4d43 00010001 3aabe829
e21649c8  00000000 417b0026 43364344 2d383842
e21649d8  43343234 4431312d 35392d32 302d4132

dd e2164968 l10    // 不是110  是 L的小写l -- l10
e2164968  0065004b 00650052 00640061 5112730d
e2164978  00080403 e24e4d43 e2164a80 e216b008
e2164988  00000000 417b0026 36334444 2d384141
e2164998  41313537 3735342d 32412d39 442d3636

3、da、du将内存地址的内容以ascii或unicode形式读取

kd> da e2164968

e2164968  "K"
kd> da e2164969
e2164969  ""
kd> da e216496a
e216496a  "e"
kd> da e216496b
e216496b  ""
kd> da e216496c
e216496c  "R"
kd> da e216496d
e216496d  ""
kd> da e216496e
e216496e  "e"
kd> da e216496f
e216496f  ""
kd> da e2164970
e2164970  "a"

kd> du e2164968
e2164968  "KeRead猍儒?.?.?.?."

一些经常使用命令，就不逐个測试了：

da 依照ASCII字符串读取
db 依照单字节和ASCII字符串读取
dc 依照4字节和ASCII字符串读取
dd 依照4字节读取
dD 依照双浮点(8字节)格式读取
df 依照单浮点(4字节)格式读取
dp 依照指针(32位系统读取4字节，64位系统读取8字节)格式读取
dq 依照8字节读取
du 依照Unicode字符串读取
dw 依照2字节读取
dW 依照2字节和ASCII字符串读取
dyb 依照单字节和二进制读取
dyd 依照4字节和二进制读搭

windbg检查常用命令

推荐阅读

html
【小程序】实时发送地理位置

https:developers.weixin.qq.comminiprogramdevapinetworksocket.htmlwxconnectsocke ... [详细]

蜡笔小新 2024-10-17 11:29:10
list
实验六提交版

1.21.3part2共用体与结构体类型的区别？答：共用体与结构体的区别在于它们的表示方法不同。结构体内，结构体的各成员顺序排列存储，每个成员都有自己独立的存储位置，而共用体的情况 ... [详细]

蜡笔小新 2024-10-16 15:31:02
java
JS swiper轮播图完美兼容手机端

swiper ... [详细]

蜡笔小新 2024-10-16 14:25:04
java
获取鼠标的位置/坐标

使用javascript如何获取鼠标的位置呢?获取光标的位置?获取鼠标坐标先看效果?核心方法:****返回鼠标的坐标*@parame*@returns{{x ... [详细]

蜡笔小新 2024-10-15 22:04:28
node.js
js模块化编程

Javascript的模块化编程Javascript在设计之初并没有提供一种原生的，语言级别的模块化方式来组织代码，比如Java语言通过package和import来管理和使用模块 ... [详细]

蜡笔小新 2024-10-17 12:52:08
list
倒排列表压缩算法汇总——分区EliasFano编码貌似是最牛叉的啊！

来看看倒排索引压缩。压缩是拿CPU换IO的最重要手段之一，不论索引是放在硬盘还是内存中。索引压缩的算法有几十种，跟文本压缩不同，索引压缩算法不仅仅需要考虑压缩率，更要考虑压缩和解压 ... [详细]

蜡笔小新 2024-10-17 12:32:49
list
Python学习之对象基础

Python对象特性0x01:所有Python对象都有三个特性以及属性*身份：每一个对象都有一个唯一的身份标识自己，任何一个都可以用内建函数id（）来得到。*类型：决定了可以保存什 ... [详细]

蜡笔小新 2024-10-16 12:34:36
python
linux基本操作命令1

1：在Ubuntu中使用“apt-getinstall+app”命令可以在线安装绝大部分软件包，在高版本的Ubuntu中，apt-get可以简写为apt。2：sudo命令表示临时切 ... [详细]

蜡笔小新 2024-10-16 11:12:45
python
postman使用环境变量

变量postman提供了变量设置，有四种变量类型本地变量全局变量环境变量数据变量什么是环境变量环境变量指在不同环境，同一个变量值随着环境不同而变化，比如在测试环境时，host为：d ... [详细]

蜡笔小新 2024-10-16 11:04:26
python
Windows 10 更新后VMware Workstation pro无法运行 (无需卸载原版本VM)

Windows10-1903更新后VMwareWorkstationpro15.0.4无法运行(无需卸载原版本VM和卸载Wind ... [详细]

蜡笔小新 2024-10-16 10:16:51
python
RocketdecodeSimplifyDC

https:mp.weixin.qq.coms4uWqBRrMVG6FlnBKmw8U-w介绍SimplifyDC如何简化解码逻辑。1.使用??简化从mint和maxt中查找的逻辑 ... [详细]

蜡笔小新 2024-10-16 09:29:38
main
初入'C'，以做一个例题有感。

题目：写一个函数返回参数二进制中1的个数方法1：我自己写的，运用‘%‘和‘‘，感觉挺简单的。intcount_one_bit(intnum){unsignedintcount0;w ... [详细]

蜡笔小新 2024-10-15 20:30:36
main
【7】继承、super、this、抽象类

1、继承定义：继承就是子类继承父类的属性和行为，使得子类对象具有与父类相同的属性、相同的行为。子类可以直接访问父类中的非私有的属性和行为。好处：1、提高代码的复用性。2、类与类之间 ... [详细]

蜡笔小新 2024-10-15 16:43:33
main
网络Cisco考试

二、操作题（共80分）请将以下拓扑实验配置完毕，保存拓扑，建立一个文本文档，按照交换机-路由器1234的顺序，将每台设备的showrunning-config复制粘贴出来，将文本文 ... [详细]

蜡笔小新 2024-10-15 15:59:53
main
解决HyperV无法生效

虚拟机需要关闭bcdeditsethypervisorlaunchtypeoffdocker需要开启bcdeditsethypervisorlauncht ... [详细]

蜡笔小新 2024-10-15 15:43:00

众神痴梦_325

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章