windbg+ollydbg备忘

windbg

·设备符号路径

　　当环境变量_NT_SYMBOL_PATH存在时，按照以下路径去找符号

　　_NT_SYMBOL_PATH 值srv*C:/WINDOWS/Symbols*http://msdl.microsoft.com/download/symbols

　　注：会影响到vc的运行，当vc打不开时，去掉这个环境变量就OK了。

 

·rM 20 查看r0,r1,r2,r3,r6,r7调试寄存器的值

　　其中r0-r3是要侦测的虚拟地址，r7为调试控制寄存器，保存了地址块长度、访问类型等

 

·vertarget 显示当前进程信息,主要是时间和平台信息

·!peb 不用说了吧

 

·跟踪指令T,TA,TB,TC,WT,P,PA,PC
　　T指令单步执行，在源码调试状态下，可指源码的一行，根据不同的选项也可以为一行ASM指令；
　　TA单步跟踪到指定地址，如果没有参数将运行到断点处。
　　TB执行到分支指令，分支指令包括calls, returns, jumps, counted loops, and while loops
　　TC执行到Call指令
　　WT Trace and Watch Data，一条强大指令，对执行流程做Profile，执行一下看看结果吧
　　P，PA，PC相信不用多做解释，大家也都明白了

 

·ba 类型 地址

　　设置内存断点

 

·g 继续运行

·r 命令显示和修改寄存器上的值
·~转存线程状态

   ~<tid>n挂起线程~<tid>m恢复

·kb 显示调用堆栈

·显示内核符号类型信息的结构列表　　dt nt!_*  -r指定递归显示

 

OllyDbg快捷键及命令：

·ctrl+r，查找当前地址的引用