WinDBG的偽寄存器
$ea
上一條指令中的有效地址(effective address)
$ea2
上一條指令中的第二個有效地址
$exp
表達式評估器所評估的上一條表達式
$ra
當前函數的返回地址(retrun address)。
例如,可以使用g @$ra返回到上一級函數,與gu(go up)具有同樣的效果
$ip
指令指針寄存器。x86中即EIP,x64即eip
$eventip
當前調試事件發生時的指令指針
$previp
上一事件的指令指針
$relip
與當前事件關聯的指令指針,例如按分支跟蹤時的分支源地址
$scopeip
當前上下文(scope)的指令指針
$exentry
當前進程的入口地址
$retreg
首要的函數返回值寄存器。x86架構使用的是EAX,x64是RAX,安騰是ret0
$retreg64
64位格式的首要函數返回值寄存器,x86中是edx:eax寄存器對
$csp
幀指針,x86中即ESP寄存器,x64是RSP,安騰為BSP
$p
上一個內存顯示命令(d*)所打印的第一個值
$proc
當前進程的EPROCESS結構的地址
$thread
當前線程的ETHREAD結構的地址
$peb
當前進程的進程環境塊(PEB)的地址
$teb
當前線程的線程環境塊(TEB)的地址
$tpid
擁有當前線程的進程的進程ID(PID)
$tid
當前線程的線程ID
$bpx
x號斷點的地址
$frame
當前棧幀的序號
$dbgtime
當前時間,使用.formats命令可以將其顯示為字符串值
$callret
使用.call命令調用的上一個函數的返回值,或者使用.fnret命令設置的返回值
$ptrsize
調試目標所在系統的指針類型寬度
$pagesize
調試目標所在系統的內存頁字節數
可以直接用上表中的名稱來使用偽寄存器,但是更快速的方法是在$前加上一個@符號。這樣,WinDBG就知道@后面是一個偽寄存器,不需要搜索其他符號。
使用windbg在程序的入口點下斷點
1、bp @$exentry
使用偽寄存器的方法,也是最常用的方法
2、bp poi(@$peb+8)+poi(poi(@$peb+8)+poi(poi(@$peb+8)+3c)+28)
3、bp $iment(poi(@$peb+8))