講述內容:如何在記憶體中搜尋資料
使用命令:
lm
列出程序使用的模組
~
列出該程序的所有執行緒
!heap
列出堆資訊
!address
列出使用者態空間所有區域
這個命令顯示內容似乎隨著版本不同有所變化,我所使用的6.2.9200顯示的格式就與書中的不太一樣。而且彙總功能需要加引數-summary。
s -u 10000 l8000000 "當年在交大"
s 搜尋記憶體命令
-u 指定搜尋型別為unicode字串
10000 搜尋的起始位址,16進製制。使用這個位址可能是因為在這個例子中,10000以前的位址都沒有使用(free)。
l8000000 搜尋的範圍,16進製制。需要注意的是它的單位是根據搜尋的物件型別而變化,可以是位元組、字、雙字、四字。在本例中由於使用unicode型別(似乎是使用utf-16),長度為2個位元組,所以實際範圍是8000000x2=256mb。
ew 02c9ffcc
eb 001b5942-8 ff fe
e命令為記憶體編輯命令。
eb 按位元組寫入
001b5942-8 寫入的起始位址。基位址+(-)偏移量
ff fe 寫入的內容。如果忽略不寫的話,windbg會啟用互動式輸入。(這個一試便知)
.writemem c:\gedu\blog.txt 001b5942-8 l1458
把記憶體內容寫入檔案。
l1458 長度。以位元組為單位。其實本例中精確長度為 1b6d82+e - 1b5942 + 8 = 1456。
第1章 導言(筆記)
1.1入門 編寫程式,編譯,載入,執行,輸出。乙個c語言程式,無論其大小如何,都是由 函式和變數組成的。每個程式都必須在某個位置包含乙個main函式。函式之間進行資料交換的一種方法是呼叫函式向被呼叫函式提供乙個值 成為引數 列表,用雙引號括起來的字串行成為字串或字串常量。1.2 變數與算術表示式 在...
CSAPP 第1章筆記
當我們對系統的某個部分加速時,其對系統整體效能的影響取決於該部分的重要性和加速程度。若系統執行某應用程式需要時間為to ldt ol d。假設系統某部分所需執行時間與該時間的比例為 而該部分效能提公升比例為 k k 即該部分初始所需時間為 t old to ld t old,現在所需時間為 told...
組合語言第10章筆記
call 和 ret 指令都是轉移指令,它們修改ip,或同時修改cs和ip。ret指令用棧中的資料,修改ip的內容,實現近轉移 retf指令用棧中的資料,修改cs和ip的內容,實現遠轉移。ret指令相當於 pop ip retf 指令相當於 pop ip pop cs call指令 1 將當前的ip...