windbg调试-----断点设置

最新推荐文章于 2025-06-19 16:42:21 发布
原创 最新推荐文章于 2025-06-19 16:42:21 发布 · 5.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#正则表达式 #module #access #汇编 #c++ #c

本文介绍了Windbg调试工具中关于断点设置的基本概念和操作,包括如何使用正则表达式定位模块,设置不同类型的访问断点,以及理解和运用汇编和C/C++知识来辅助调试。通过实例解析,帮助读者掌握高效调试技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    几个基本概念:

    
 1:windbg中的符号和语句命令
   ;     命令分隔符
   {}     表达式块
   $$    命令中的注释,已 “;”代表注释结束 
   .catch   当程序错误的时候,防止程序终止
   .if   .do .while .break .for .else 和C语言中的关键字类似
 
几个命令:
    c命令:比较内存
      例如:
         考虑如下程序
           
void  main()
{
    char rgBuf1[100];
    char rgBuf2[100];

    memset(rgBuf1, 0xCCsizeof(rgBuf1));
    memset(rgBuf2, 0xCCsizeof(rgBuf2));

    rgBuf1[42= 0xFF;
}
   比较rgBuf1和rgBuf2内存内容可以使用如下命令:
       
0 : 000 >  c rgBuf1 (rgBuf1 + 100 ) rgBuf2
   或者
 0 : 000 >  c rgBuf1 L  100  rgBuf2
线程控制命令:
 
断点设置命令: 
 
变量显示命令:
 
 
调试分析命令:
 
用户空间:
      用户空间即用户模式的应用程序运行的空间,他的虚拟地址由0x00000000 到0x7FFFFFFF
   设置断点只是针对某个线程空间,所以如果需要队某个线程使用bp 虚拟内存地址形式的断点的话,需要使用.process [process Number]切换到线程空间
 设置断点:
       断点中可以设置的地址的形式:
     1: 虚拟内存地址                 
            虚拟内存地址的区域设置
            设置内存地址的区域可以使用一对地址:
              例如:
                0x00001000  0x00001007
                如果对象的大小为 1size 它等同于
                0x00001000  L8
                一般的对象的大小都是 4bytes ,所以一般为
                0x00001000  L2
     2函数偏移量
     3源代码+行数 `[[Module!]Filename][:LineNumber]`
     4对C++可以对模块中的某个类的函数设置断点:
 
       例如:
       bp:Set Breakpoint
        
基本语法:
 1:无条件设置断点:
   bp  Address
        
0 : 000 >  bp 0040108c
    0 : 000 >  bp main + 5c
    0 : 000 >  bp `source.c: 31
    0 : 000 >  bp MyClass::MyMethod 
    0 : 000 >  bp MyClass__MyMethod 
    0 : 000 >  bp @@( MyClass::MyMethod )
 
 2:设置有条件断点
   例如:
   bp Address  " .if (Condition) {OptionalCommands} .else {gc} "
    
 
 1 使用寄存器做条件判断:
     例如: 
 注意有符号寄存器的扩展:
   例如:
 
 : 000 >  bp mydriver ! myFunction  " j @eax = 0xc0004321  '';'gc' "  
  这样设置的断点在用户空间是不会工作的,因为 设置断点的0xc0004321的最高位为1,此时会被当作有符号数来处理成0xFFFFFFFF`C0004321
需改为以下模式
0 : 000 >  bp mydriver ! myFunction  " j (@eax & 0x0`ffffffff) = 0x0`c0004321  '';'gc' "  

bu:   Set Unresolved Breakpoint
bp 和bu的区别:
 1:bp是立即生效,且马上被转化为内存中的某个地址,如果调式模块被改变,bp指向的地址不会变,而bu只是和symbol文件相关联,模块改变的时候,指向的symbol的offset或者plus是不变的
 2: bp指定的断点在模块unload之后从bl列表中删除,而bu的断点是永远存在的。
 3:在windbg的可视源码或者可视的反汇编代码中所设的断点都是bu模块的断点
bm :Set Symbol Breakpoint
 使用bm设置断点支持正则表达式的模式匹配,所以可以使用他来设置多个断点
 如果正则表达式被匹配的话,他的效果将和bu设置的是一样的
  例如:
  
  0 : 000 >  bm dbgtest !* main *
  1 00413530  @ ! " dbgtest!wmain "
  2 00411810  @ ! " dbgtest!__tmainCRTStartup "
  3 : 004117f0 @ ! " dbgtest!wmainCRTStartup "
  使用bp 和bm /a 的风险:
  当wndbg在设置软件断点在代码段的时候,windbg将程序指令替换为断点指令,但是当断点设置在数据段的时候,将会将程序数据替换为断点指令,从而导致数据被修改,因此在设置断点在数据段的时候,推荐使用 ba( ba (Break on Access).)指令
purplethunder
关注
Windbg设置断点追踪打开C++程序远程调试开关的模块
dvlinker的技术专栏
04-10 2万+
在动态调试Windbg设置断点,追踪何处打开了C++程序远程调试开关。
C++-源代码调试-Visual Studio-X64dbg-WinDbg-插件开发
插件开发
11-09 724
如果宿主软件,存在反调试技术,我们开发插件的第一步就是干掉反调试,但这往往是一个复杂的工程,具体的技术可以查看相关教程,这样就需要一个强大的反汇编工具,比如X64dbg,同样可以先启动目标软件,然后可以在指定模块下断点,查看程序运行情况,使用X64dbg的读者,需要具备一定的逆向分析能力,如汇编代码阅读能力。看到此文的很多读者,可能会疑问,都有源代码,还要介绍怎么调试,这是为何,这主要是很多时候系统运行的复杂性,有可能我们只有部分代码,或者传统的调试器无法使用(反调试技术的存在)。
WinDBG 技巧:设断点命令详解(bp, bu, bm, ba 以及bl, bc, bd, be)
anjichan4261的博客
03-26 344
WinDBG 提供了多种设断点的命令:bp, bu, bm, ba bp 命令是在某个地址下断点, 可以 bp 0x7783FEB 也可以 bp MyApp!SomeFunction 。 对于后者,WinDBG 会自动找到MyApp!SomeFunction 对应的地址并设置断点。 但是使用bp的问题在于:1)当代码修改之后,函数地址改变,该断点仍然保持在相同位置,不一定继续有...
深入理解Windbg x86:从基础到实战应用
最新发布
weixin_33814090的博客
06-19 401
作为IT专业人士,我们经常需要使用调试工具来诊断和修复软件中的错误。在众多调试工具中,Windbg凭借其强大的功能和灵活性,被广泛应用于Windows平台下的应用程序和驱动程序的调试。本章将对Windbg x86进行概述,为读者理解其深层的调试功能打下基础。内存调试是软件开发中不可或缺的一部分,它涉及到对程序在运行过程中内存使用情况的监控和分析。在程序运行时,内存状态包括已分配的内存、内存访问模式、内存泄漏以及指针错误等方面。
WinDBG调试断点命令详解
g710710的专栏
03-14 1830
1.WinDbg下载:   Install Debugging Tools for Windows 32-bit Version http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx   Install Debugging Tools for Windows 64-bit Versions http://www.m
WinDbg 设置断点
togoblime的专栏
02-25 9402
windbg中,断点设置的地址形式有好多种,可以是以下几种:1.虚拟地址:即给出直接地址,如 123456782.函数偏移量:如DriverEntry+5c.3.源代码+行数 :`[[Module!]Filename][:LineNumber]`4.对C++可以对模块中的某个类的方法设置断点: 设置断点语法:         1:无条件设置断点:  
windows软件调试-windbg
10-31
- **设置断点**:使用`bp`命令设定断点,可以基于地址、函数或条件。 - **符号加载**:使用`.symfix`自动配置符号路径,`.reload /f`强制重新加载所有模块的符号。 - **调试器扩展**:利用如`!heap`、`!handle`等...
使用Windbg调试目标进程的一般步骤及要点详解
热门推荐
dvlinker的技术专栏
06-04 3万+
本文以一个具体的崩溃实例来详细讲述使用Windbg动态调试目标进程的一般步骤及相关要点。
Windbg设置条件断点
weixin_33754913的博客
01-06 349
条件断点(condition breakpoint)的是指在上面3种基本断点停下来后,执行一些自定义的判断。 在基本断点命令后加上自定义调试命令,可以让调试器在断点触发停下来后,执行调试器命令。每个命令之间用分号分割。 语法格式如: 0:000>bpAddress"j(Condition)'OptionalCommands';'gc'...
WinDBG设置断点的命令
weixin_34265814的博客
01-02 220
命令 ========== ~0 bp 02sample!KBTest::Fibonacci_stdcall "r esp" 在零号线程上的KBTest类的Fibonacci_stdcall函数上设置断点, 并且在触发断点时执行"r esp"命令.   bl 列出所有已经设置了的断点   bc * 清除所有断点   bp 02sample!KBTest::Fi...
WinDbg断点调试FFmpeg
u012117034的博客
06-13 752
本文主要讲解 WinDbg 调试器的使用。WinDbg在 Windows 里面的地位,就跟 GDB 在 Linux 的地位一样。可以通过 微软的官方网站 安装 WinDbgWinDbg 是比较轻量级的调试工具,在一些场景下比较实用,例如不方便安装 vs2019。...
windbg 断点+单步
CAir2的专栏
06-18 4854
1.设置断点 bp,bu,bm 软中断 [~td] bp[ID] [Options] [Address[Passess]] ['CommandString'] ~td:线程序号。如果设置了线程序号,则只有当该线程调用才会触发断点。 ID:断点编号,如果不指定则从0开始编排 Address:断点地址,eg:TestModals 模块的Func 函数 TestModals!Func Passess:...
windbg设置断点 bp, bu, bm
Mr.Sugarcane
01-25 2153
windbg断点设置
WinDBG 设置条件断点
lixiangminghate的专栏
07-26 1874
Conditional breakpoints can be veryuseful when you are trying to find bugs in your code. They cause a break tooccur only if a specific condition is satisfied. 当你在尝试找到你代码中的bug时,条件断点非常有用。当某个特殊条件满足时它才
Windbg 添加断点调试程序
cwei231的博客
04-17 1004
windbg 设置断点,以及相关的指令
windbg常用断点 (zz)
08-16 142
windbg常用断点 //z 2012-08-16 16:43:36 IS2120@csdn.T3181799596[T8,L144,R4,V335] 拦截窗口: bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 ...
Windbg设置断点追踪打开软件远程调试开关的模块
dvlinker的技术专栏
09-28 1万+
详细讲解如何在Windbg设置断点追踪打开软件远程调试开关的模块。
windbg学习------条件断点
weixin_30608503的博客
06-03 209
使用j命令的条件断点的基本语法如下: 0:000>bpAddress"j(Condition)'OptionalCommands';'gc'" 使用.if命令的条件断点的基本语法如下: 0:000>bpAddress".if(Condition){OptionalCommands}.else{gc}" 其实结合起来看就是双...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值