点点灵犀

字符串断点在下断点时也是一个比较常用的功能。不过网上介绍字符串断点设置技巧的文章很少，有的也不准确。其实他们设置的方法整体来看比较简单。VSDebugVSDebug 微软VS自带调试器套件，对字符串断点的支持依然强大。Vs支持在断点条件中使用字符串比较函数。ASCII字符集字符串断点设置方法：strcmp(pzString, "DDLX_CHAR") ==

先找到windbg进程内核对象指针lkd> !process 0 0 windbg.exeUnable to read selector for PCR for processor 0PROCESS 8144c3a8 SessionId: 0 Cid: 02ac Peb: 7ffdb000 ParentCid: 0820 DirBase: 0c0c05a0 Objec

windbg是微软开发的一套调试器中的组件。windbg由于其丰富的命令和对windows的原生支持还有其易用性，是其他其他调试器望尘莫及的。不过，如果你只是想通过源码调试应用层程序，应该首选vc调试器。windbg特色功能：1. 支持应用层程序调试(可以源码调试)2. 支持内核层调试。如调试驱动和操作系统3. 支持远程调试4. 分析dump文件5. 查看本地操作系

加载符号.symfix 设置符号路径0:000> .symfix c:\symbols.sympath 查看设置的符号路径0:000> .sympathSymbol search path is: srv*Expanded Symbol search path is: SRV*c:\symbols*http://msdl.microsoft.com/download/sym

visual c++ 是visual studio中的一个组件。windows下开发C++是一个首选工具。这个工具强大了，每个人都知道哈哈我打算给大家介绍一些windows下常用的调试器：visual c++ollydbgwindbgvisual c++作为我们的开发工具，当做调试器当然也不逊色，那他与别的调试器相比有哪些优劣点呢？visual c++调试器

b 断点命令bp/bu/bm 软件断点bp 设置一个普通断点bu 设置一个未决的断点，如果该断点所在模块还没加载，使用该指令bm 对多个符号下断点0:000> bp kernel32!LoadlibraryA0:000> bp kernel32!LoadlibraryA+50:000> bu kernel32!LoadlibraryW0:000> ~2 bp kernel

.attach 附加一个进程0:000> .attach -b 0n2168Attach will occur on next execution0:000> g.detach 取消调试当前进程1:001> .detach /nDetachedg 继续执行0:004> g //或按快捷键F5无条件中断(不是指令)Ctrl+Break.restart重新

在win7中 _OBJECT_HEADER变化比较大。不能直接取出_OBJECT_TYPE对象，而是使用对象在ObTypeIndexTable中的索引来引用_OBJECT_TYPE。下面使用windbg来掩饰xp和win7获取_OBJECT_TYPE的方法。xp系统获取方法使用!object查看一个文件对象信息lkd> !object 8914b2c0Object: 8914

windows内核中大量的数据结构使用了双向链表。如果能查看每个链表的元素，甚是美哉。windbg就给我们提供了这么好用的功能。!list命令是一个用来查看链表的命令，该功能非常强大并且易于使用。下面我们就用例子来看一下!list命令的用法使用!list遍历活动进程的进程Id和进程名活动进程链表节点在EPROCESS中德偏移 +0x088 ActiveProcess

.dvalloc 申请虚拟内存.dvfree 释放虚拟内存.writemem 写内存到文件.readmem 读文件到内存!address 内存信息查看!vprot 看虚拟内存保护属性0:001> .dvalloc 1000Allocated 1000 bytes starting at 011500000:001> !vprot 01150000BaseAddr