学习随笔

转自：http://zhidao.baidu.com/question/97839146.html1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//********************************************function AntiLoader():Boolean;constOl

1.启动1)直接调试: gdb program [core]cdb program or cdb -z DumpFile2)attach方式gdb attach pidcdb -pn ExeName or cdb -p pid2.显示堆栈GDB: btCDB: k堆栈命令堆栈命令都是K开头k 使用K命令进行栈回溯kL 和上面一样，只是省略了源代码段 L 一定要大写kb L 还是回溯，显示前3个参数（只是机械的按ebp+8,ebp+0xC,ebp+0x10取三字值，不判断），L意思和上面一样。kp;kP 把参

<br /><br />问题：在用windbg+vmare做内核调试的时候，会出现多线程切换的情况，导致调试一个线程的时候F10几下以后就不再是同一个线程了，这样很大程度上影响了正常的调试。<br /> <br />解决方法：1、可以通过对进程或线程下断点：bp /p Eprocess  Address  bp /t Ethread Address，我一般都用的这种<br />  2、可以利用脚本，这种方法我也没用过，主要是不懂windbg脚本<br />  3、最后一种也是比较笨的一种方法，就是在跳转处下