常用Windbg命令
关注
分享
扫一扫
FFE4
业余病毒分析
展开
-
windbg 内存条件断点
判断指针ba w4 0d58130 ".if(poi(地址) = 值){}.else{gc}"判断其他数据类型,使用c++语法ba w4 0d58130 ".if(@@(*(int*)0x0d58130) = 0xa){dd 0x0d58130 }.else{gc}"原创 2021-12-22 02:33:14 · 1198 阅读 · 0 评论 -
windbg .for命令遍历Win10所有注册的镜像通知回调函数
命令.for(r $t0=nt!PspLoadImageNotifyRoutine;poi(@$t0)!=0; r $t0=@$t0+8){r $t1=poi(@$t0)&0FFFFFFFFFFFFFFF0h;.printf "pCallback=0x%p pFunc=0x%p\n",@$t1+8,poi(@$t1+8);!address poi(@$t1+8); .echo =======================================}第一次进来,fffff8075eeb原创 2021-09-25 02:51:06 · 404 阅读 · 0 评论 -
分析cve-2018-15982常用windbg命令
windbg附加IE后,设置flash模块加载断点sxe ld Flash32_30_0_0_113.ocx内存访问断点,Flash漏洞利用代码,通过任意地址读写,泄露一个Flash Object 虚表函数地址,通过计算虚表函数地址,可以定位到ba r 4 flash模块基址 ".if(eip<Flash模块结束地址){.echo \"shellcode\"}.else{g}"bp kernel32!VirtualProtect ".if((poi(@esp+43)==40)&原创 2020-11-17 10:33:16 · 215 阅读 · 0 评论 -
Windbg常用命令 - 修改可执行内存属性断点
下面命令对32位程序,修改内存属性为读写执行时,断下,并打印出地址、大小、和新属性值 bp kernel32!VirtualProtect ".if(poi(@esp+4*3)==40){.printf \"addr=0x%08x size=0x%08x newProtect=0x%08x\\n\",poi(@esp+4),poi(@esp+4*2),poi(@esp+4*3);.echo hit!!! }.else{gc}; "比较坑的是.printf命令,换行要用\\n才行。...原创 2020-11-16 17:35:11 · 564 阅读 · 0 评论