Windbg 기본 - (1) 기본 명령어들
그동안 손 놓고 있던 시스템 쪽을 다시 열심히 하기로 마음먹었다. 까먹지 않게 하나씩 다시 정리해야지.
다 까먹었다.... : (
# Windbg 기본 #
- 장점 : MS지원(symbol 등) / 강력한 커널디버깅 / 익숙해질시 편함
- 단점 : UI 가 불편함 = 단축키 익숙해지면 편함. 하지만 자꾸 까먹음
1) .help - 도움말 / .hh(F1도움말)
2) 디버깅
- .attach : attach
- .restart : 어플 재시작
- .detach : detach
- ctrl+break : 명령 콘솔(중지)
- g : 실행
- lm : list module
0:014> lm start end module name 00380000 00389000 Normaliz (deferred) 00400000 004be000 image00400000 (deferred) 00ba0000 00ca3000 comctl32_ba0000 (deferred) 00e70000 00f0f000 MSRMfilter01 (deferred) |
- !dmi : 모듈 상세정보
0:014> !lmi dnsapi Loaded Module Info: [dnsapi] Module: DNSAPI Base Address: 76ed0000 Image Name: C:\WINDOWS\system32\DNSAPI.dll Machine Type: 332 (I386) Time Stamp: 485bec2a Sat Jun 21 02:43:06 2008 Size: 27000 CheckSum: 24da0 |
- .tlist : tasklist
- !peb : process's environment block
- !teb : thread's environment block
- ~ : thread list
- bl : list breakpoints
- bc * : clear all br
- be # : enable bp #
- bd # : disable bp #
- bp [addr] : set br at addr
- ba [r|w|e] [size:1|2|4] addr : 특정 메모리 읽기/쓰기/실행 시 stop
ex) ba r4 7c9311dd
3) 팁
- 코드찾기
> s [시작주소] l [범위] [코드] [코드] [코드]
ex)
0:014> s 01c20000 l 9000 58 5b c3 01ee7f03 58 5b c3 21 4e 90 a0 b4-6e 34 c3 b5 3e 65 c4 02 X[.!N...n4..>e.. 0:014> u 01ee7f03 |
'Reversing' 카테고리의 다른 글
| Windows Kernel Reversing - Object 분석 (0) | 2015.01.28 |
|---|---|
| 온라인 디컴파일러 - decompiler.fit.vutbr.cz (3) | 2014.10.31 |
| 비주얼 베이직 리버싱 팁 - vb decompiler To IDC(ida script) (1) | 2013.12.23 |
| .net 프로그램 리버싱 툴 (1) | 2013.03.03 |
| Windbg 기본 - (2) 기본 명령어들-2 (0) | 2012.08.08 |