aoebug的博客

windows操作系统有一个默认调试器设置，使程序出现崩溃时，自动调用这个调试器进行调试。这个设置在windows的注册表中，对于32位操作系统：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/AeDebug/Debugger，对于64位操作系统：HKEY_LOCAL_MACHINE/SOFTWARE/Wow6432N

加载某个DLL 的时候下断点的WinDBG 命令：sxe ld:[dll name]卸载某个DLL 的时候下断点的WinDBG命令：sxe ud:[dll name]比如：sxe ld:wininet  (在wininet.dll 被装载的时候断点)还可以通过直接在DllMain下断点来达到相同目的：bu wininet!DllMain

Windbg调试程序WinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试， 我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。 如何得到帮助在命令（Command）窗口中输入.hh 命会调出帮助文件令

论坛近日有人在问如何跳过CreateProcess调用底层的NtCreateProcess。我想说的是不能单纯看这个问题，首先不同NT内核版本CreateProcess进入底层的路径是不同的:2k ->NtCreateProcessxp ->NtCreateProcessExvista/win7/2008 ->NtCreateUserProcess

Windbg实用手册Windbg工作中用的不多，所以命令老是记不住，每次使用都要重新查命令，挺烦。趁这次培训的机会好好测试和总结了一下，下次再用就方便多了。在这里一起共享一下，如果有错误，请指正。基本知识和常用命令（1）       Windbg下载地址http://msdn.microsoft.com/en-us/windows/hardware/gg4630

标 题: 【原创】windbg 脚本简单入门作 者: evileagle时 间: 2013-10-31,23:04:24链 接: http://bbs.pediy.com/showthread.php?t=180879在Windows调试器这个圈子里，Windbg作为微软的亲儿子，其名气可谓无人不知，就算你没用过，那你肯定也听说过。Windbg的功能自然不必说，集内核调试，

用Windbg挂载到notepad.exe中，在CreateFile函数上下断点0:001> bp kernel32!CreateFileW0:001> bp kernel32!CreateFileA在notepad上选择保存，Windbg停止在CreateFileW的入口点Breakpoint 1 hiteax=00000000 ebx=00000001 ecx=0007

指定进程启动时Windbg自动Attach 1. 在Windbg安装目录中找到gflags.exe2. 配置信息3. 保存运行a.exe时就会自动Attach上。实际这个工具是在注册表添加了一个键值，具体如下：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image Fi

有时候你的dll需要注入到别人的exe中，使用ida是可以进行源码调试的，发现使用windbg来进行源码调试更方便现在把这些记下来备忘吧，自己的dll注入到别人的exe中经常需要exe在启动的时候就能够使用windbg断下来查看当前情况，两步就可以完成。以要注入的exe名称为ABC.exe为例：      首先在注册表中创建一项，在HKEY_LOCAL_MACHINE/SOFTWA

关于循环位移指令ROL,RCL ;逻辑右移指令 SHR , 算术右移指令 SAR书上说 ROL的功能为，对操作数进行循环左移，每执行一次，把最高位移到最低位，同时还把最高位移到CF那么 CF=0 AL=10100000     ROL AL，1 AL的内容为？ CF为？  CF=0 AL=10100000 CL=2    ROL AL,CL AL的内容为？CF为？而