1.WinDbg实践--入门篇
2.Windbg学习及在CTF中解题
WinDbg实践--入门篇
WinDbg,定位定位即Windows平台上的源码源代调试工具,它由Windows和Debug两个词组合而成,定位定位具备强大的源码源代调试功能,能够调试用户模式、定位定位内核模式以及dump文件等。源码源代小程序 注册源码其调试命令分为基本命令、定位定位元命令和扩展命令三类。源码源代基本命令和元命令是定位定位调试器自带的功能,元命令以"."开头,源码源代而扩展命令则以"!"开头。定位定位以下将通过实例和命令来实践WinDbg的源码源代使用。
一.配置微软符号服务器[未能成功]
在Windows程序中,定位定位宝马版源码通常会存在与XXX.exe相同名字的源码源代XXX.pdb文件,即Program Debug Database。定位定位pdb文件包含调试信息,由链接器生成。符号服务器(Symbol Server)是一个文件服务器,将调试符号进行集中存储,资源解包源码使得WinDbg能够解析符号名称。微软的符号服务器是常用的公共符号服务器,即msdl.microsoft.com/download/symbols,它是调试Windows应用程序和Windows内核程序不可或缺的。当然,用户也可以搭建自己的puppet源码分析符号服务器。
1.WinDbg默认的设置路径
File -> Settings -> Debugging settings,默认的源码路径、符号路径和缓存路径如下:
2.设置_NT_SYMBOL_PATH环境变量
设置_NT_SYMBOL_PATH环境变量的值为:
SRV*D:\mysymbol*/thread-... [3]Windbg调试命令详解: yiiyee.cn/blog///... [4]WinDbg用法详解: wenku.baidu.com/view/ca... [5]Good tutorial for WinDbg: stackoverflow.com/quest... [6]WinDbg设置调试符号路径与调试符号下载: blog.csdn.net/qq_... [7]dotnet/symreader-portable: github.com/dotnet/symre... [8]搭建自己的符号服务器: bbs.pediy.com/thread-... [9]Windows调试工具: docs.microsoft.com/zh-c... []WinDbg Online Help: dbgtech.net/windbghelp/... []WinDbg官方文档: windbg.org/ [].NET探秘:MSIL权威指南: url.ctfile.com/f/... (访问密码: )
本文由 mdnice 多平台发布
Windbg学习及在CTF中解题
Windbg是一款强大的Windows调试工具,专为0和3环程序的分析和调试设计,对于定位和修复程序错误至关重要。它由微软开发,乌龟源码科技具有丰富的功能,适用于软件开发、故障排除和性能优化。
安装Windbg 时,需先下载Windows SDK,然后按照相关教程进行安装。其内置的help文档提供了详尽的使用指导。系统崩溃时,.dmp文件会记录内存映像,帮助我们理解程序的执行状态,而pdb文件则是存储调试符号信息,便于将二进制地址映射回源代码。
Windbg的基础命令包括查看数据的dt,如查看变量信息;执行与调试的bp(设置断点)、g(运行程序)、u(反汇编)、r(查看寄存器)等;以及辅助分析的.sympath(符号加载)和.load(导入插件)。利用!py mona这样的扩展功能,可以进行漏洞挖掘和ROP Chain的生成。
在实际的CTF解题中,比如一道涉及内存分析的题目,可以使用Windbg Preview分析dmp文件。通过命令如!analyze -v深入查找崩溃原因,查看加载的模块,利用pdb排除系统dll,通过内存布局分析可疑dll,最终找到隐藏的flag。