WinDBG 고급 명령어들
WinDBG 고급 분석을 위한 명령어들 간단 정리
# 설정 미리 해놓기(배치파일)
- windbg.bat
"C:\Program Files\Windows Kits\10\Debuggers\x86\windbg.exe" -c".symfix+;.load c:\\blwdbgue.dll;g" "c:\program files\internet explorer\iexplore.exe"
# syntax color highlight
- blwdbgue 다운로드 및 .load 로 로드
# 심볼 설정 쉽게 하기
0:009> .symfix+
# 심볼 확인
0:009> x jscript9!JS::JavascriptArray::*
6548df1c jscript9!Js::JavascriptArray::IsEnumerable (<no parameter info>)
6534cdfb jscript9!Js::JavascriptArray::GetFromIndex (<no parameter info>)
6548fa51 jscript9!Js::JavascriptArray::BigIndex::BigIndex (<no parameter info>)
6548deb2 jscript9!Js::JavascriptArray::SetEnumerable (<no parameter info>)
653ba673 jscript9!Js::JavascriptArray::EntrySome (<no parameter info>)
65327b86 jscript9!Js::JavascriptArray::HasItem (<no parameter info>)
652a2f78 jscript9!Js::JavascriptArray::`vftable' = <no type information>
6548f898 jscript9!Js::JavascriptArray::BigIndex::SetItem (<no parameter info>)
6548dff8 jscript9!Js::JavascriptArray::IsDirectAccessArray (<no parameter info>)
6534be75 jscript9!Js::JavascriptArray::Sort (<no parameter info>)
65531508 jscript9!Js::JavascriptArray::EntryInfo::Map = <no type information>
653a6b3e jscript9!Js::JavascriptArray::EntryIsArray (<no parameter info>)
0:009> x jscript9!JS::JavascriptArray::Get*
0:009> x jscript9!JS::JavascriptArray::Set*
# 하드웨어 bp (access)
- ba w4 0x1f1f0000
# 주소 정보 출력
- 0:009> x jscript9!JS::JavascriptArray::*
# 힙 정보 확인(page heap, stack trace 설정해야 자세히 보임)
- !heap -p -a 0x254a0a12
# 로드된 모듈 정보 출력
0:009> lm
start end module name
013a0000 0145c000 iexplore (deferred)
04780000 048ac000 Cooxie (deferred)
05a80000 05a9e000 iToolsBHO (deferred)
63b90000 63d53000 d3d9 (deferred)
63ec0000 65297000 Flash32_25_0_0_171 (deferred)
652a0000 65562000 jscript9 (pdb symbols) C:\Program Files\Windows Kits\10\Debuggers\x86\sym\jscript9.pdb\6E55E6B5AC4B4699BFCF4B58510435202\jscript9.pdb
65570000 656a6000 DWrite (deferred)
656b0000 659f7000 d2d1 (deferred)
65f00000 66cbd000 MSHTML (pdb symbols) C:\Program Files\Windows Kits\10\Debuggers\x86\sym\mshtml.pdb\98191859560C471FB6BA0B1D33DAACCB2\mshtml.pdb
66cc0000 679e9000 IEFRAME (pdb symbols) C:\Program Files\Window
'Reversing' 카테고리의 다른 글
IDA Hexray 문자열이 제대로 보이지 않을때 옵션 설정방법 (0) | 2018.09.20 |
---|---|
암호학 정리(for CTF) (0) | 2018.04.05 |
DBI - pin & pintool (4) | 2017.05.22 |
DBI - Frida 를 이용한 DBI (3) | 2016.09.07 |
Embedded 기기 리버싱 - 펌웨어 리버싱 (1) | 2016.07.14 |