1、 !address eax查看对应内存页的属性
2、 vertarget 显示当前进程的大致信息
3、!peb 显示process Environment Block
4、 lmvm 可以查看任意一个dll的详细信息
例如:0:026 lmvm msvcrt (deferred)表示察看msvcrt.dll的信息,但是没有加载
symbol可以通过.reload命令来加载
5、.reload /!sym 加载符号文件
6、 lmf 列出当前进程中加载的所有dll文件和对应的路径
0:018> lmf
7、 r 命令显示和修改寄存器上的值
r命令显示和...
WinDbg, 软件调试阅读全文
第一步:在VS2005开发环境下,解决方案资源管理器中修改解决方案名称及工程名称,在工程的属性中修改“根命名空间”为新的工程名称.
第二步:直接更改文件名称。更改解决方案所在目录名称为新的名称,更改所有未命名为新名称的文件为新名称。 全部修改后的文件有:*.sln,*.ncb,*.vcproj,*.vcproj.&.&.user,*表示你的新的工程名称,&在各人机器上会有所不同一般是你的机器名称.
第三步:用文本编辑器打开*.sln文件...
visual_studio阅读全文
一、先修改工程名/解决方案名
举例,原先的工程名为AAA 想要改成BBB
1.找到工程/解决方案所在的文件夹(已工程名/解决方案名命名,即AAA)
2.打开该文件夹,有一个AAA.sln
将其重命名为BBB.sln
用记事本打开该文档,点替换,将所有AAA替换为BBB,保存退出.
3.AAA文件夹下还有一个AAA文件夹,打开里面有一个AAA.vcproj
将其重命名为BBB.vcproj
同上,用记事本打开该文档,点...
visual_studio阅读全文
in ring3:
lkd> ? ntdll!ZwOpenProcess
Evaluate expression: 2089999739 = 7c92dd7b
lkd> ?ntdll!NtOpenProcess
Evaluate expression: 2089999739 = 7c92dd7b
可以看到,在ntdll中,ZwOpenProcess和NtOpenProcess其实是同一个函数,只不过拥有两个名称而已。
也就是说,在ring3环境中,Zw***系列函数和Nt***系列函数无区别。
in ring0:
lkd> u nt!ZwOpenProcess
nt!ZwOpenProcess:
804de044 b87a000000 mov eax,7Ah...
windows阅读全文
user32.dll是Windows用户界面相关应用程序接口,用于包括Windows处理,基本用户界面等特性,如创建窗口和发送消息。
ordinal hint RVA name
1 0 00018673 ActivateK...
dll, windows_API阅读全文
gdi32.dll是Windows GDI图形用户界面相关程序,包含的函数用来绘制图像和显示文本。
ordinal hint RVA name
1 0 00034CD2 AbortDoc
2 1 00036009 AbortPath
3 &#...
dll, windows_API阅读全文
NTDLL ntdll.dll是NT操作系统重要的模块。 XP的核心dll——ntdll.dll
ordinal hint RVA name
8 0 0001D5A0 CsrAllocateCaptureBuffer&...
dll, windows_API阅读全文
kernel32.dll是Windows9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域, 使别的程序无法占用这个内存区域。
ordinal hint RVA name &#...
dll, windows_API阅读全文