Windbg条件内存搜索

debugcn 发表于 Dev

andrey2003

当寄存器中的地址指向带有某种模式的内存块时，我需要在调试器windbg中设置断点，并且该模式未固定以抵消诸如

bp ws2_32!sendto "j s @rdx @rdx+100 53 65 6e 64 g"

如何正确编写此条件？因此，只有在rdx和rdx + 100内部的地址范围内有此模式时，我才需要中断sendto 53 65 6e 64

bp ws2_32!sendto ".if(s @rdx @rdx+100 53 65 6e 64) == 0 { g }" error too

托马斯·韦勒

问题是s不能构成有效条件。它要么打印结果，要么不打印结果。

示范准备

2:007> .dvalloc 1000
Allocated 1000 bytes starting at 003b0000

2:007> eb 003b0000 53 65 6e 64

2:007> db 003b0000 L10
003b0000  53 65 6e 64 00 00 00 00-00 00 00 00 00 00 00 00  Send............

测试使用 s

2:007> s-a 003b0000 L100 "Send"
003b0000  53 65 6e 64 00 00 00 00-00 00 00 00 00 00 00 00  Send............

2:007> s-a 003b0000 L100 "Test"

您可以.foreach在的输出上使用s。它将为输出中的每个单词运行命令，该命令太多了：

2:007> .foreach (output {s-a 003b0000 L100 "Send"}) { .echo "found" }
found
found
found
found
[...]

因此，让我们使用s具有特殊选项的事实，即仅输出地址

2:007> .foreach (output {s-[1]a 003b0000 L100 "Send"}) { .echo "found" }
found

目前无法对您的断点进行复制，但它看起来应该像

bp ws2_32!sendto ".foreach (output {s-[1]a @rdx L100 "Send"}) { g }"

当搜索字节而不是ASCII字符串并使用寄存器而不是地址时，这也应该起作用

2:007> r eax = 003b0000

2:007> .foreach (output {s-[1]b @eax L100 53 65 6e 64}) { .echo "found" }
found

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。

编辑于2021-06-1

我来说两句

0条评论

登录后参与评论

来自分类Dev

WinDbg：.if中的条件使用命令

来自分类Dev

组合搜索条件

来自分类Dev

Windbg内存映射？

来自分类Dev

搜索大内存映射文件

来自分类Dev

使用Windbg分析转储文件中可能的内存泄漏

来自分类Dev

如何使用WinDBG跟踪.net内存不足异常？

来自分类Dev

windbg内存泄漏调查-缺少堆内存

来自分类Dev

WinDbg内存分析

来自分类Dev

搜索条件和NULL

来自分类Dev

在WinDbg中调试devenv.exe内存转储

来自分类Dev

PHP：内存中搜索

来自分类Dev

NPM搜索：内存不足

来自分类Dev

搜索表格的条件

来自分类Dev

弹性搜索的OR条件

来自分类Dev

使用windbg在整个代码中搜索特定的调用指令

来自分类Dev

如何按条件搜索

来自分类Dev

搜索条件和条件的列表

来自分类Dev

Windbg / cdb-用内存中的修补程序（32位）替换慢速条件断点

来自分类Dev

弹性搜索条件

来自分类Dev

WinDbg“对内存位置的无效访问”-InitializeProcThreadAttributeList

来自分类Dev

PHP符合搜索条件

来自分类Dev

根据条件搜索数据

来自分类Dev

如何从WinDbg中的内存转储中获取线程ID？

来自分类Dev

组合搜索条件

来自分类Dev

Windbg内存映射？

来自分类Dev

使用Windbg分析转储文件中可能的内存泄漏

来自分类Dev

运行windbg脚本时内存泄漏

来自分类Dev

为什么Windbg无法看到在delphi中创建的内存泄漏？

来自分类Dev

Windbg pykd 内存断点

Related 相关文章

文章