티스토리 뷰
!address 명령어를 입력하면 ollydbg 나 immunity의 m 기능을 사용가능합니다.
.restart 재시작 합니다. (ctrl + shift + f5)
기본 개념
기본 단축키
F9 : BreakPoint
F5 : Start
ctrl + Break
메타 명령
. 으로 시작하는 것은 메타 명령어로 디버거 전체를 제어한다.
커맨드 창의 내용 지우기
.cls
sysbol path 확인
.sympath
정보 확인
레지스트리 확인
r
어셈블리 확인
u [주소]
u 0x300000
-메모리에서 특정 데이터 확인
s -d L?ffffffff 111 111 111 111 (메모리에서 111 111 111 111 부분 확인)
-메모리에서 특정 문자열 찾기
유니코드인 경우
s -u 0x00000000 L?0x7fffffff "hello"
아스키 코드인 경우
s -a 0x00000000 L?0x7fffffff "hello"
-힙
!heap -stat
전반적인 힙 정보를 보여주는 명령어이다.
!-heap stat -h address
특정 힙 영역에 대한 자세한 정보를 보여준다. address에 주소 값을 넣으면 된다.
TEB 출력 : !teb
dg : 커널에서 사용하는 세그먼트 디스크립터를 보여준다.
역참조
poi : 역참조 연산을 위해서 사용한다.
ex)
poi(fs:[18])
poi(esp+8)
d*
d는 display의 기능을 하고 d의 뒤에 알파벳을 넣어서 어떤 형식으로 보여줄 것인지를 정한다.
db : byte 출력
dw : word 출력
dd : double word로 출력
dq : Quad word로 출력
dW : word + ascii
dc : double + ascii
da : ascii로 해석
!vprot @eip : 실행 가능한지 쓰기 인지 읽기 인지를 판별한다.
모듈 확인
lm m srv*
브레이크 포인트
브레이크 포인트 확인
bl
e : enable d : disable
브레이크 포인트 disable
bd
브레이크 포인트 disable to enable
be [해당 브레이크 포인트 숫자]
브레이크 포인트 삭제
bc
브레이크 포인트 단축키 : f9
브레이크 포인트 설정
주소로 설정 : bp 00401b3e
모듈의 특정 함수에 브레이크 포인트 : bp 모듈명!함수명
특정 브레이크 포인트 해제 : bc 3-5, bc 3,5,7
브레이크 포인트 비활성화 : bd 0
브레이크 포인트 활성화 : be 0
프로세스
!process
현재의 프로세스 정보 출력
!thread
스레드 정보 출력
'TOOLS > windbg' 카테고리의 다른 글
| windbg conditional BreakPoint (0) | 2017.07.03 |
|---|---|
| mona 명령어 (0) | 2017.01.01 |
- Total
- Today
- Yesterday
- gdb intel 변환
- 변환
- 백도어
- Intel
- 드라이버
- gdb 명령어
- PNP 드라이버
- 디바이스
- GDB
- module
- gdb명령어
- backdoor
- VMware
- 모듈
- gdb intel
- DriverEntry
- IRP
- 레거시 드라이버
- 리눅스 모듈
- rootkit
- BP
- vmware 오류
- 루트킷
- vmware cannot connect to the virtual machine
- LKM
- breakpoint
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |