hgy413的专栏

http://hgy413.com/1293.html

1.把所有语句写在脚本文件的单行中，每个语句和命令之间用分号隔开，然后用$> 2.在脚本文件中输入所有语句，每条语句占一行，然后使用$> bu kernel32!LoadLibraryW " as /mu ${/v:$dllname} poi(@esp+4); .block { .if(1==$spat(@\"${$dllname}\", @\"*mm*\")) { du

简单的script r @$t0 = kernelBase!IsDebuggerPresent; eb @$t0+0x9 31 c0 90 90 强制把原代码改成xor eax, eax; nop; nop 注意在xp下，使用kernel32

自己参看：http://debugging.wellisolutions.de/cmdtree/ 基本语法： 第一行是：windbg ANSI Command Tree 1.0 下一行定义了cmdtree这个窗口的标题，标题的keyword是titile,紧接着一对{“”}，如 title {"hgy413 common cmd"}注意title和后面的内容是分离的，不要写成： ti

使用!dh命令: 文本如下： .if(${/d:$arg1}) { .printf /D "\nYou selected the module: ${$arg1}\n" } .else { .printf /D "\nSelect option below for loaded modules:\n" .foreach(obj {lm1m}) { .bloc

.shell 命令启动一个shell进程并将他的输出重定向到调试器或指定的文件 语法 .shell [Options] [ShellCommand]  .shell -i InFile [-o OutFile [-e ErrFile]] [Options] ShellCommand  看下FIND的解释： Options 可以是任意多个下面的选项：

DML象HTML那样允许在一定格式的标记中包含指令和不显示的信息。调试器的用户界面将能分析额外的信息并提供新的特性。 DML内容说明 DML对特殊字符的处理规则近似于XML/HTML。&, 和”都是特殊字符，不能直接在纯文本中使用。对应的转义字符为&, <, >和" 例如下面的一句话： “Alice & Bob think 3 转换为D

1.s搜索命令     1.1搜索dword  0:000> dd esp 0029e898 00050001 7ffdf6cc cccccccc cccccccc 0029e8a8 636e6554 20746e65 68636554 6f6c6f6e 0029e8b8 53287967 7a6e6568 296e6568 6d6f4320 0029e8c8 796e6170 6

$a $Filename $>Filename $$ Filename $$> Filename $$>a Filename [arg1 arg2 arg3 ... ] Filename：文件的路径，可以包含空格 argn：指定任意数目的参数，用于调试器传送给脚本，在执行脚本文件之前，脚本文件中任意${$argn}格式的字符串，对应被调试器传送进来

1.使用别名和删除别名 aS ${/v:ScriptName} hgy ad ${/v:ScriptName} 注意不要用as，因为在没有任何名令参数时，as是把;也算在别名内的，也就是直接把hgy;ad...后所有的当成了别名 可以用一个分号来结束aS命令。这在需要将所有命令放在单行中的脚本文件中有用。 如果使用了/e、/ma、/mu、/msa、/msu或/x开