注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

且行且记录

点滴记录,行的更远!

 
 
 

日志

 
 

windbg的s命令练习  

2017-05-28 21:36:26|  分类: 一些练习 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

s命令的语法如下:

s [-[[Flags]]Type] Range Pattern
s -[[Flags]]v Range Object
s -[[Flags]]sa Range
s -[[Flags]]su Range

==================================

把上面的语法展开,这样容易明白。

最普通的形式,等效于搜索字节数据
s Range Pattern

如果要搜字符串等类型,就要加类型了
s -Type Range Pattern

如果还要限制一下长度等,就要再加标志。。。
s -[Flags]Type Range Pattern


s -v Range Object
s -[Flags]v Range Object

 

搜索范围内所有字符串
s -sa Range

对这些字符串还要要求,就再加标志。。。
s -[Flags]sa Range

 

搜所有宽字符串
s -su Range

 

搜特定要求的所有宽字符串
s -[Flags]su Range

==================================
Type Description
b Byte (8 bits) 字节
w WORD (16 bits) 字
d DWORD (32 bits) 双字
q QWORD (64 bits) 四字
a ASCII string(not necessarily a null-terminated string) 普通字符串,并非仅限于以空结尾的字符串。
u Unicode string(not necessarily a null-terminated string) 宽字符串,并非仅限于于空结尾的宽字符串。

Flags:
[s] 保存结果
[r] 在保存的结果内搜
[n 6] 限定结果长度
[l 5] 限定最小长度
[w] 可写区域
[1] 显示地址

==================================

0:000> s 7c800000 l4000 'P' 'E'
7c8000f0  50 45 00 00 4c 01 04 00-81 f4 c4 49 00 00 00 00  PE..L......I....

0:000> s 7c800000 7c801000 50 45
7c8000f0  50 45 00 00 4c 01 04 00-81 f4 c4 49 00 00 00 00  PE..L......I....

0:000> s -b 7c800000 l 1000 50 45
7c8000f0  50 45 00 00 4c 01 04 00-81 f4 c4 49 00 00 00 00  PE..L......I....

0:000> s -w 7c800000 l 1000 4550
7c8000f0  4550 0000 014c 0004 f481 49c4 0000 0000  PE..L......I....

0:000> s -d 7c800000 l 1000 00004550
7c8000f0  00004550 0004014c 49c4f481 00000000  PE..L......I....

0:000> s -a 7c800000 l1000 "PE"
7c8000f0  50 45 00 00 4c 01 04 00-81 f4 c4 49 00 00 00 00  PE..L......I....

搜索7c800000长度8000范围内的所有字符串
s -sa 7c800000 l8000
...............
7c807e68  "RequestWakeupLatency"
7c807e7d  "ResetEvent"
7c807e88  "ResetWriteWatch"
7c807e98  "RestoreLastError"
7c807ea9  "ResumeThread"
...............

搜索7c800000长度8000范围内的所有长度至少20字符串
s -[l 0n20]sa 7c800000 l10000
...............
7c808d32  "WriteConsoleInputVDMW"
7c808d6f  "WriteConsoleOutputAttribute"
7c808d8b  "WriteConsoleOutputCharacterA"
7c808da8  "WriteConsoleOutputCharacterW"
7c808e0d  "WritePrivateProfileSectionA"
7c808e29  "WritePrivateProfileSectionW"
7c808e45  "WritePrivateProfileStringA"
7c808e60  "WritePrivateProfileStringW"
...............

搜索保存
0:000> s -[s]a 7c805000 l10000 "LoadLib"
7c807647  4c 6f 61 64 4c 69 62 72-61 72 79 41 00 4c 6f 61  LoadLibraryA.Loa
7c807654  4c 6f 61 64 4c 69 62 72-61 72 79 45 78 41 00 4c  LoadLibraryExA.L
7c807663  4c 6f 61 64 4c 69 62 72-61 72 79 45 78 57 00 4c  LoadLibraryExW.L
7c807672  4c 6f 61 64 4c 69 62 72-61 72 79 57 00 4c 6f 61  LoadLibraryW.Loa
7c81452a  4c 6f 61 64 4c 69 62 72-61 72 79 00 90 90 43 6f  LoadLibrary...Co
Saved 5 hits

只显示地址
0:000> s -[1]a 7c805000 l10000 "LoadLib"
0x7c807647
0x7c807654
0x7c807663
0x7c807672
0x7c81452a

  评论这张
 
阅读(0)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017