WinDbg实战调试命令笔记

1.字符串查看
da esp-20   //显示ansi字符串
du esp-20   //显示ansi字符串
db esp-20
dd esp-20 
dt SYSTEMTIME   //查看结构体  
dt ole32!SYSTEMTIME 01960d28

2.修改数据
eb ebp-20 61 61 61 61 61  
ea 0012ff4c "bbbbb"
eu 0012ff4c "ab"
r @eax=1  //将eax寄存器修改为1

3.断点
bp 0042d5ef  //下断点
ba e1 user32!SetWindowTextW //断点SetWindowTextW
ba e1 user32!SetWindowTextW  "du poi(esp+8)"     //断点SetWindowTextW, 打印出Title(esp+8)
ba e1 user32!SetWindowTextW  ".if(poi(poi(esp+8)) == 00320031){}.else{g;}"  //访问断点，如果esp+8等于"12"字符串
bd  //禁用断点
be //开启断点
bl  //查看断点
bc 0  //清除断点
bc *  //清除所有断点
 
4.内存断点
s -u 0 300000 "123."  //查找字符串123.
ba r4 01960d28       //内存访问断点


5.其他相关
.formats 00320031
qd  //退出调试
.restart  //重新启动程序调试
.hh  //打开帮助
x nt!*  
address
ph
x kernel32!Get*Time
.sympath SRV*C:\symbols*http://msdl.microsoft.com/download/symbols
.reload
g @$exentry     //入口点
pt

gu

lmf