前言
在上一篇文章中,我们主要使用了三个命令 !address,s,.writemem 把丢失的代码成功的保存到了文件中。本文简单介绍一下上文用到的这三个命令。
windbg 中的地址范围语法
很多命令都会用到 地址范围。比如 s 命令,.writemem 命令。
在 windbg 中可以通过两种形式指定地址范围。起始地址 L长度 或者 起始地址 终止地址。在上一篇文章中,我们使用的是 起始地址 终止地址 的形式。我们也可以使用用 起始地址 L长度 的形式来指定一个范围。其中的 L 必不可少,而且,L 后面跟的是要查看的单位数量,不是字节数。比如,我们查看起始地址 0xc0000 处对应的内容,同样是L4,按字节(db),按四字节(dd)和按八字节(dq)查看,显示的内存范围是不一样的
有两点需要注意:
- 如果搜寻的范围超过
256MB,我们需要使用L?,而不是L。 - 我们可以使用
L-表示给定的address是终止位置,而不是起始位置。
!address 命令
该命令可以用来查看指定地址对应的信息,也可以用来查找过滤。在之前的文章里使用 !address 查看过某个地址对应的信息。上一篇文章中我们主要使用的是这个命令的查找过滤功能(通过 -f 参数,f 是 filter 的缩写)。
我们可以根据用途过滤,具体参考下表。
还可以根据内存保护属性过滤,具体参考下表。
还可以根据内存状态过滤,具体参考下表。
还可以根据内存类型过滤,具体参考下表。
-f 参数需要配合 -c:"command" 在查找的过程中执行对应的命令。
s 命令
该命令可以用来查找符合特定模式的内存。s 是 Search Memory 的缩写。
s [-[[Flags]Type]] Range Pattern
s -[[Flags]]v Range Object
s -[[Flags]]sa Range
s -[[Flags]]su Range
这里仅截取 Type 的用法。更多用法请参考官方文档。
.writemem 命令
该命令比较简单,.writemem FileName Range。
FileName :如果路径中有空格,需要使用 "" 引起来,这个应该是常识了。
Range :相关的语法已经在本文开始介绍了。
总结
我们在上一篇文章中用到的命令(!address -f:heap,PAGE_READWRITE -c:"s -u %1 %2 args.Contains(\"--all\")")的意思是:遍历可读写的堆内存,对每个内存区域调用 s 命令,搜寻匹配 args.Contains("--all") 的 unicode 字符串。s 命令需要的地址范围是通过 !address 命令传递过来的 %1(起始地址) 和 %2(结束地址) 传递的。
参考资料
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-address
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-writemem--write-memory-to-file-
- https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/address-and-address-range-syntax
- https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/s--search-memory-
