티스토리 뷰
.reload : 심볼을 다시 로드할 때 쓰는 명령어
이 부분에서 해당 폴더를 생성한 후 관리자 권한으로 실행하면 다운로드 되면서 정상실행됩니다.
SRV*C:\windbgsymbols*http://msdl.microsoft.com/download/symbols
x *! : 모든 심볼을 로드합니다.
x kernel32!virtual* : kernel32 모듈에서 앞부분의 virtual인 모든 심볼을 로드
x *!messagebox* : 반대로 이렇게 할 수도 있다.
ld* : 강제로 모든 모듈을 불러온다.
.hh : 도움말(f1도 가능합니다)
.hh <command> : 특정 명령어에 대한 도움말을 불러옵니다.
1. 이미 로컬에서 디버깅을 하고 있는 경우
.server tcp=port=1234 : 리모트 디버깅을 위해서 원격에 포트를 연다.
그리고 또 다른 컴퓨터에서 windbg를 실행한 후 file -> connect to remote session 으로 가서 아래 명령처럼 아이피와 포트를 입력합니다.
tcp:Port=1234,Server=<A의 ip>
2. 하고 있지 않은 경우
dbgsrv.exe -t tcp:port=1234
이 프로그램을 이용해서 서버를 시작할 수 있다. 그리고 file -> connection to remote sub에서 다음과 같이 입력한다.
tcp:Port=1234,Server=<ip of machine A>
lmf : 모듈을 다시 불러오고 싶을 때
lmf m ntdll : ntdll 모듈에 대해서 나열하고 싶은 경우
!dh ntdll : ntdll.dll 모듈의 이미지 헤더 정보를 얻고 싶은 경우
!의 의미 : 확장 명령으로 dll에서 제공하는 외부 명령어 입니다. 즉 사용자는 자신만의 확장자를 만들어 windbg의 기능을 추가가능합니다.
bp 7700000 : 주소로 브레이크 포인트
bp eip+1
.formats 123 : 해당 데이터에 대해서 다양한 포멧을 볼 수 있다. char float double hex 등등
? eax+4 : 연산을 진행해준다.
'정보' 카테고리의 다른 글
| SMB Protocol (0) | 2016.11.03 |
|---|---|
| NTSTATUS window error code 정보 (0) | 2016.11.02 |
| immunity Debugger 명령어 (0) | 2016.10.07 |
| cl.exe 위치와 간단한 사용법 (0) | 2016.10.06 |
| python window 설치 및 cmd 실행 설정 (0) | 2016.10.05 |
- Total
- Today
- Yesterday
- IRP
- gdb명령어
- 백도어
- 드라이버
- gdb intel 변환
- 리눅스 모듈
- BP
- 모듈
- backdoor
- GDB
- vmware 오류
- breakpoint
- DriverEntry
- 루트킷
- Intel
- LKM
- gdb intel
- gdb 명령어
- 변환
- VMware
- vmware cannot connect to the virtual machine
- module
- 레거시 드라이버
- 디바이스
- PNP 드라이버
- rootkit
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |