WinDBG 고급 명령어들

2017. 6. 7. 10:16


WinDBG 고급 분석을 위한 명령어들 간단 정리




# 설정 미리 해놓기(배치파일)

- windbg.bat

"C:\Program Files\Windows Kits\10\Debuggers\x86\windbg.exe" -c".symfix+;.load c:\\blwdbgue.dll;g" "c:\program files\internet explorer\iexplore.exe"




# syntax color highlight

- blwdbgue 다운로드 및 .load 로 로드




# 심볼 설정 쉽게 하기

0:009> .symfix+



# 심볼 확인


0:009> x jscript9!JS::JavascriptArray::*

6548df1c          jscript9!Js::JavascriptArray::IsEnumerable (<no parameter info>)

6534cdfb          jscript9!Js::JavascriptArray::GetFromIndex (<no parameter info>)

6548fa51          jscript9!Js::JavascriptArray::BigIndex::BigIndex (<no parameter info>)

6548deb2          jscript9!Js::JavascriptArray::SetEnumerable (<no parameter info>)

653ba673          jscript9!Js::JavascriptArray::EntrySome (<no parameter info>)

65327b86          jscript9!Js::JavascriptArray::HasItem (<no parameter info>)

652a2f78          jscript9!Js::JavascriptArray::`vftable' = <no type information>

6548f898          jscript9!Js::JavascriptArray::BigIndex::SetItem (<no parameter info>)

6548dff8          jscript9!Js::JavascriptArray::IsDirectAccessArray (<no parameter info>)

6534be75          jscript9!Js::JavascriptArray::Sort (<no parameter info>)

65531508          jscript9!Js::JavascriptArray::EntryInfo::Map = <no type information>

653a6b3e          jscript9!Js::JavascriptArray::EntryIsArray (<no parameter info>)


0:009> x jscript9!JS::JavascriptArray::Get*

0:009> x jscript9!JS::JavascriptArray::Set*





# 하드웨어 bp (access)

- ba w4 0x1f1f0000




# 주소 정보 출력

- 0:009> x jscript9!JS::JavascriptArray::*




# 힙 정보 확인(page heap, stack trace 설정해야 자세히 보임)

- !heap -p -a 0x254a0a12




# 로드된 모듈 정보 출력


0:009> lm

start    end        module name

013a0000 0145c000   iexplore   (deferred)             

04780000 048ac000   Cooxie     (deferred)             

05a80000 05a9e000   iToolsBHO   (deferred)             

63b90000 63d53000   d3d9       (deferred)             

63ec0000 65297000   Flash32_25_0_0_171   (deferred)             

652a0000 65562000   jscript9   (pdb symbols)          C:\Program Files\Windows Kits\10\Debuggers\x86\sym\jscript9.pdb\6E55E6B5AC4B4699BFCF4B58510435202\jscript9.pdb

65570000 656a6000   DWrite     (deferred)             

656b0000 659f7000   d2d1       (deferred)             

65f00000 66cbd000   MSHTML     (pdb symbols)          C:\Program Files\Windows Kits\10\Debuggers\x86\sym\mshtml.pdb\98191859560C471FB6BA0B1D33DAACCB2\mshtml.pdb

66cc0000 679e9000   IEFRAME    (pdb symbols)          C:\Program Files\Window






+ Recent posts