把梦想放飞在蓝色的天空里...

windbg符号路径设置2009-10-11 21:46使用Windbg第一步要做的，就是设置符号文件的位置，就是pdb文件。符号路径设置：Ctrl+S在弹出的窗口中输入你的符号路径，路径的格式只要符合Windows操作系统路径格式即可，路径可以多个，中间以分号间隔，d:\symbols\win2k3_en；Windbg可以自动到Microsoft的服务器上下载符号表文件（

昨天给大家写了简单壳的脚本的写法，相信大家对一些简单壳都已经学会自己去写脚本了，至少已经能看懂脚本了吧。好，今天就继续给大家讲稍微难点的壳的脚本的写法，希望大家能好好掌握。前提是，你已经看了昨天的基础篇，并已经学会写一些简单的脚本。废话不多说，开始今天的内容。首先来个稍微简单点的壳的脚本的写法：MoleBox 2.x的壳当然，我们首先还是来手脱一下这个壳。所以说，写脚本

OllyScript脚本语言是一个种类汇编的语言。你使用它来控制ODbgScript和脚本运行.在后面的文档中, “源操作数” 和 “目的操作数”表示以下含义:- 十六进制常数，既没有前缀也没有后缀。 (例如：是00FF, 而不是 0x00FF 和 00FFh的形式)十进制常数,在后缀中加点. (例如:100. 128.也可以是浮点数128.56,浮点数只能保留小数点后2位)

WinDBG 提供了多种设断点的命令：bp, bu, bm, ba bp 命令是在某个地址下断点， 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者，WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于：1）当代码修改之后，函数地址改变，该断点仍然保持在相同位置，不一定继续有效； 2

Windbg断点命令1. 设置断点命令bu bp bm ba1) bu bp bm设置软件断点a). bp设置地址关联的断点b). bu设置符号关联的断点c). bm支持设置含通配符的断点，可以一次创建一个或多个bu或bp (bm /d)断点bp和bu的主要区别a) bp所设断点和地址关联，如果模块把该地址的指令移到其它地方，断点不会随之移动，而是依然关联在在原来的地址

无聊的时候浏览看雪，总是会有些收获。碰到好的文章就转载过来了，再次对原作者表示感谢！原文：http://bbs.pediy.com/showthread.php?t=173334 大牛直接无视好了网上关于设置字符串断点的文章不多，但是这个又是一个非常实用的功能。拍砖请轻轻的VCDebugVCDebug 微软VS自带调试器套件，对字符串断点的支持依然强大。VC支持在断点条件中使用...

//start       DBH       bd       gpa "recv", "WS2_32.dll" //Get Procedure  Address       bp $RESULT  //ws2_32!recvlabel1:       RUN       var buff       mov buff, [esp+8]       var s

//start DBH //隐藏OD bd //清除普通断点 bphwc //清除硬件断点 GMA "QMNetworkMgr", MODULEBASE var offset mov offset, 11ba9 add offset, $RESULT bp of

1 !address eax查看对应内存页的属性2 vertarget 显示当前进程的大致信息3 !peb 显示process Environment Block4 lmvm 可以查看任意一个dll的详细信息例如：0:026 lmvm msvcrt (deferred)表示察看msvcrt.dll的信息，但是没有加载symbol可以通过.reload命令来加载5.rel

通常使用windbg都是用M$的符号，但是如果你去搞别的东西，比如调试firefox,符号何来？给大家提供一些常见符号服务器的地址Microsoft – http://msdl.microsoft.com/download/symbolsFirefox   – http://symbols.mozilla.org/firefoxChrome    – http://chromi

一、VB程序 其实,VB的按纽事件的找法是最为普遍的,也就是大家所谓的万能断点.其实也不仅仅是针对按纽事件,还有很多其他的用处,如取消NAG,启动框,灰色按纽或隐藏按纽,启动时的timer事件等等,具体的就自己去总结吧,这里只演示按纽事件!OD载入后,CTRL+B,816C24 确定后,就会来到下图处: 然后,就在下面的JMP处F2下断,下完后CTRL+L,如果还有,就