返回
【7A版】Windbg入门实战讲解.doc

【7A版】Windbg入门实战讲解.doc

ID:33951827

大小:3.03 MB

页数:7页

时间:2019-03-02

【7A版】Windbg入门实战讲解.doc_第1页
【7A版】Windbg入门实战讲解.doc_第2页
【7A版】Windbg入门实战讲解.doc_第3页
【7A版】Windbg入门实战讲解.doc_第4页
【7A版】Windbg入门实战讲解.doc_第5页
资源描述:

《【7A版】Windbg入门实战讲解.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、7A版优质实用文档Windbg入门实战讲解windbg作为windows调试的神器。是查看内核某些结构体,挖掘漏洞,调试系统内核,调试驱动等必不可少的工具。但是由于windbg命令众多,界面友好程度较差,从而造成新人上手不易,望而却步。本文抛砖引玉,从基础入手,讲解windbg。希望同作为新人的我们一起进步!注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。因为这部分的内容,网络上太多了。读者可自行百度。但是请注意:这两部分也是很重要的。0×1程序代码为了整体掌握windbg的调试流程。本文实例采

2、用自己编写。好处是可以更为主动的熟悉windbg的调试命令,更加直观的查看windbg的显示结果。0×2windbg调试入口打开windbg,点击:File->OpenEGecutable,选中编译好的eGe文件。Windbg会自动给程序下一个断点。但是我们不知道这个断点是否属于我们程序的区域。所以,我们先要看下,断点是断在了什么地方。我们在windbg命令中输入!address断点地址。如下图所示:图中不仅仅显示了断点所在的“领空区域”,还显示了一些文件的其他属性。由于此时的断点不再我们需要的领空,所以下面要使

3、用上文提过的伪寄存器了。我们在windbg中输入:bp$eGentry。也可以输入bp@$eG77A版优质实用文档7A版优质实用文档entry。@的作用是让windbg不再去寻找系统符号,从而加快了执行速度。Bp呢,我们依旧可以看下windbg的帮助文档。从中,我们可以知道,bp就是给地址下一个断点。好让程序中断下来。那$eGentry又是什么呢?我们可以在Help->Content点击索引,输入:pseudo查看。$eGentry就是我们的程序入口点啦。之后我们输入bl命令;可以查看我们下的断点。输入g命令;g

4、就是运行程序的意思。运行程序,程序就会停在我们的程序入口点了,也就是oep。但这依然不是我们想要的。这下系统符号表的作用就体现出来了。虽然本程序加载的系统符号表是vs2015debug时候自动生成的,但是这个系统符号表与从微软下载的系统符号表的作用是一样的。我们在windbg中输入:bpmain;就这么简单。注意:这个符号表是利用的本地符号表。输入g命令;windbg会自动给我们断在main函数中。G命令结束后,这里我们需要注意一下:点击windbg工具条的Sourcemodeoff。当Soucemodeon的时

5、候,debug的单步命令会直接按照函数的步骤执行,而不是从真正单步汇编命令,这点上大家可以尝试切换不同的开关。具体执行如下图所示:0×3重点命令77A版优质实用文档7A版优质实用文档1)栈内容查看这里很重要的一点是:本程序是为了体会windbg的流程和指令。所以,不会回避源代码的显示问题。我们单步到程序的第一个call函数中,可以用F8或者F11步入其中。输入命令:kv。或者点击View->CallStack查看。此时,我们可以看到栈中的信息是一样的。从中,我们也可以看出kv就是显示堆栈详细信息的命令啦。k命令在

6、windows漏洞挖掘,了解windows执行过程中是非常有用的命令之一。从下图中,我们也可以看到kv命令后,001218a7正是第一个call函数的返回地址。00000001和00000002正是传递给f_add的参数。在CVE漏洞号码验证的程序中,经常看到大神门查看栈信息就是如此。而ChildEBP信息是什么呢?如下图所示,通过图所示看到:ChildEBP原来就是子函数栈基址的指针地址啦。RetAddr就是返回的函数地址,ArgstoChild就是显示的参数啦。2)字符串的查看继续F10,运行完第一个call

7、函数后,windbg显示了一个‘string’的字符。那么想要知道这个字符是什么呢?怎么查看呢?我们这里使用了db命令,就是以byte的形式显示内存数据。Dd命令就没有后面的字符串啦,比较单调,读者可以自己尝试。77A版优质实用文档7A版优质实用文档我们运行到四个参数的f_add函数中去,kb查看栈的信息,此时,发现Argstochild只能显示3个参数,如果有多个参数怎么办呢?可以使用kp或者kP命令,他们的结果是一样的,知识换行与否。结果如下图所示:3)结构查看假如我们不知道st_m的结构,想要产看一下st_

8、m的结构是什么,可以使用dtst_m;可以看到如下结果。3个int类型,每个占用4字节。有了这些知识,我们就可以简单的进行一些windows的调试;不信,看下面的例子。0×4Windows双机调试(实战)此次利用的漏洞来源:www.eGploit-db.com属于SEHBufferOverflow类型。执行前:执行后:1)寻找指定进程和附加打开wavtomp3这个软件。我

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。