Windbg 脚本命令简介

r:

registers的简写，可以显示或修改寄存器的值、浮点寄存器的值、定义别名变量。

可以显示当前线程下的寄存器值。

The r command displays or modifies registers, floating-point registers, flags, pseudo-registers, and fixed-name aliases.

 

0:000> ~2 r

//显示 2号线程的寄存器值

 

0:000> ~* r eax

//显示所有线程的 eax寄存器值

 

 

n (Set Number Base)

设置默认显示的数字进制（Radix）

0:000> n

base is 16

//显示默认进制

0:000> n 10

base is 10

//改成10进制

 

Value	Description
8	Octal
10	Decimal
16	Hexadecimal

 

In all MASM expressions, numeric values are interpreted as numbers in the current radix (16, 10, or 8). You can override the default radix by specifying the 0x prefix (hexadecimal), the 0n prefix (decimal), the 0t prefix (octal), or the 0y prefix (binary).

dc 00cc07c8 00cc07c8+0n4344

              Windbg默认的数值进制一般是16， 可以通过n命令查看和设置当前进制，

              , 0n(十进制)， 0x(十六进制)， 0t(8进制)， 0y(2进制)， 比如0n20表示20， 0x14表示20等

 

 

? Expression(Evaluate Expression)

计算表达式

 

0:000> as fn c:\dir\name.txt                                              //定义一个别名，设置别名，Alias Set

0:000> $spat("c:\dir\name.txt","*name*")                           //没有输出

0:000> ?$spat("c:\dir\name.txt","*name*")                          //计算结果，\n被转义，所以结果是0.

Evaluate expression: 0 = 00000000`00000000

0:000> ?$spat(@"c:\dir\name.txt","*name*")                        //在字符串前面加 @符号

Evaluate expression: 1 = 00000000`00000001

0:000> ?$spat("c:\dir\","*name*")

Syntax error at '("c:\dir\","*name*")'                                     //有错误，因为dir\” 这里被转义

0:000> ?$spat(@"c:\dir\","*name*")                                    //使用@，防止被转义

Evaluate expression: 0 = 00000000`00000000

0:000> ?$spat(@"c:\\name","*name")

Evaluate expression: 1 = 00000000`00000001                       //找到结果，输出1，表示true

0:000> ?$spat(@"c:\dir\","*d*")

Evaluate expression: 1 = 00000000`00000001

0:000> ?$spat(${fn},"*d*")

Syntax error at '(c:\dir\name.txt,"*d*")'                                //定义别名就是类似C++ 里的宏

0:000> ?$spat("${fn}","*d*")

Evaluate expression: 1 = 00000000`00000001

0:000> ?$spat("${fn}","*name*")

Evaluate expression: 0 = 00000000`00000000                       // fn 中的\n 被转义，所以找不到

0:000> ?$spat(@"${fn}","*name*")

Evaluate expression: 1 = 00000000`00000001

 

 

$spat 是MASM里的一个命令，检查第一个string参数是否符合第二个参数的模式（大小写敏感），

要注意 转移字符 \n, \", \r, and \b

 

?? 是c++表达式格式的，对应MASM的 ? 功能。

 

 

 

Address and Address Range Syntax

 

下面的2个是等价的，dd是读取双字，即4个字节，2个字节（byte）为一个字（word）。

当一个存放于0x00123456 的指针指向地址0x00420000，我们想显示位于地址0x00420000的内容时，可以有如下选择：

0:000> dd 420000                        //直接打印位于该地址的值

0:000> dd poi(123456)

//取得0x00123456地址上指针的值，以poi函数(point to int)取值，即32位平台取4字节，64位平台取8字节，取的都是一个完整指针大小的长度，32位平台指针长度为4字节，64位平台指针长度是8字节。额外一点，int/Int32无论在32还是64位平台都是4字节。

 

读取开始地址为0x00001000  的8字节：这里假设对象长度是1字节，L指定是对象个数，它跟对象的大小有关系

Dd 0x00001000  0x00001007 //指定开始地址，结束地址

Dd 0x00001000  L8  //指定开始地址，对象个数8，假设对象是1字节长度

Dd 0x00001000  L2  //指定开始地址，对象个数2，假设对象是双字长度（4字节）

Dd 80000000 L20  // the range from 0x80000000 through 0x8000001F

Dd 80000000 L-20  //specifies the range from 0x7FFFFFE0 through 0x7FFFFFFF.

 

 

 

MASM parser treats all symbols as addresses, the example must have the poi operator to dereference MyVar

MASM解析器把所有的symbol符号都用地址的方式来表示，所以必须用poi函数来解析出地址里面的值。

 

 

 

 

实例：

0:000> !do 0x0000000122a8b110 Name:        InternalEntity.CityInfoEntity MethodTable: 000007ff00283908 EEClass:     000007ff00293c18 Size:        48(0x30) bytes File:        C:\ SearchService.InternalEntity.dll Fields:

MT

Field

Offset

Type

VT

Attr

Value

Name

000007fee4abc7e8

4000534

10

System.Int32

1

instance

30138

city

000007fee4abc7e8

4000535

14

System.Int32

1

instance

10082

province

000007fee4abc7e8

4000536

18

Sstem.Int32

1

instance

28

country

000007fee4abd618

4000537

20

System.Boolean

1

instance

1

hasMemoryCacheConfig

000007ff00463810

4000538

8

...ityTimeZoneEntity

0

instance

0000000122a8b140

<CityTimeZone>k__BackingField

000007fee4abc7e8

4000539

1c

System.Int32

1

instance

0

<CityhotelCount>k__BackingField

0:000> dc 0x0000000122a8b110 00000001`22a8b110  00283908 000007ff 22a8b140 00000001  .9(.....@.."....    00000001`22a8b120  000075ba 00002762 0000001c 00000000  .u..b'.......... 00000001`22a8b130  00000001 00000000 00000000 00000000  ................ 00000001`22a8b140  00463810 000007ff 000075ba 00000e10  .8F......u...... 00000001`22a8b150  00000e10 00000001 d266c000 08cffbb9  ..........f..... 00000001`22a8b160  9d264000 08d0a0be 20c3c000 08d119c2  .@&........ .... 00000001`22a8b170  eb834000 08d1bec6 00000000 00000000  .@.............. 00000001`22a8b180  00256438 000007ff 22a8b110 00000001  8d%........"....

0 分享 微博 QQ 微信 收藏 上一篇：windbg 脚本命令实例 下一篇：windbg拦截驱动 飘雪超人 364篇文章，26W+人气，0粉丝 Ctrl+Enter 发布 发布 取消 推荐专栏更多 十年老兵教你练一套正宗的MySQL降龙十八掌 MySQL全通晓 共18章 | 张甦 ￥51.00 402人订阅 订   阅 负载均衡高手炼成记 高并发架构之路 共15章 | sery ￥51.00 506人订阅 订   阅 猜你喜欢 我的友情链接 C将十六进制数字字符串转成数字 PostgreSQL的B-tree索引 PostgreSQL pg_rewind实例--could not find previous WA redis geo 地理位置系应用战案例 PostgreSQL逻辑备份pg_dump使用及其原理解析 PostgreSQL如何删除不使用的xlog文件 PostgreSQL pg_ctl start超时分析 Greenplum -- segment 死机后恢复 postgresql 主备及切换-恢复方案 顺丰删库工程师遭开除，难道他不会恢复误删数据？ 从删库到恢复到跑不了路-数据恢复工程师解说顺丰删库事件 【干货】数据库分库分表基础和实践 Hyperledger Fabric启用CouchDB为状态数据库 PostgreSQL启动恢复读取checkpoint记录失败的条件 GreenPlum 5.10.0 集群部署 Memcached安装及数据库操作管理 Access2010中调用过程带call与不带call的问题 rocketmq集群部署（多master多slave异步） 区块链入门学习资源介绍 扫一扫,领取大礼包 0 分享 飘雪超人

转载于:https://blog.51cto.com/whatday/1382191