1、啓動windbg
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x86\windbg.exe" -y cache*g:\dump;srv*http://msdl.microsoft.com/download/symbols;g:\dump\19942 -srcpath G:\V68_45_new\src
dump分析常用指令
dump分爲:崩潰dump和運行dump分別如何查看?
運行指令 .ecxr 崩潰dump查看崩潰點看堆棧 k
查看內存信息 k kb顯示前三個參數
!analyze -v //找出出錯的堆
!heap //打印出錯函數的局部位置
!for_each_frame dv /t //顯示call stack內容
~*kbn //顯示所有線程信息
~線程號 s //切換線程
kbn //顯示當前線程信息
.reload //加載符號信息
!runaway 19 //查看19號線程所用時間
.load wow64exts
!sw //切換到64位
lmv m chrome 顯示 chrome_child 模塊詳細信息
!peb [address] : 顯示一個進程的進程塊信息
ecx 寄存器用來存放this指針。
ebp:當前函數棧的棧基址
eax 存放函數返回值。
esp:當前函數棧的棧頂(如果該函數有內部調用別的函數的話,也是下一個函數的棧基址)
eip : 下一個指令地址(內存中)
一般寄存器:AX、BX、CX、DX
AX:累積暫存器,BX:基底暫存器,CX:計數暫存器,DX:資料暫存器
索引暫存器:SI、DI
SI:來源索引暫存器,DI:目的索引暫存器
堆疊、基底暫存器:SP、BP
SP:堆疊指標暫存器,BP:基底指標暫存器
EAX、ECX、EDX、EBX:為ax,bx,cx,dx的延伸,各為32位元
ESI、EDI、ESP、EBP:為si,di,sp,bp的延伸,32位元
eax, ebx, ecx, edx, esi, edi, ebp, esp等都是X86 彙編語言中CPU上的通用寄存器的名稱,是32位的寄存器。如果用C語言來解釋,可以把這些寄存器當作變量看待。
比方說:add eax,-2 ; //可以認爲是給變量eax加上-2這樣的一個值。
這些32位寄存器有多種用途,但每一個都有“專長”,有各自的特別之處。
EAX 是"累加器"(accumulator), 它是很多加法乘法指令的缺省寄存器。
EBX 是"基地址"(base)寄存器, 在內存尋址時存放基地址。
ECX 是計數器(counter), 是重複(REP)前綴指令和LOOP指令的內定計數器。
EDX 則總是被用來放整數除法產生的餘數。
ESI/EDI分別叫做"源/目標索引寄存器"(source/destination index),因爲在很多字符串操作指令中, DS:ESI指向源串,而ES:EDI指向目標串.
EBP是"基址指針"(BASE POINTER), 它最經常被用作高級語言函數調用的"框架指針"(frame pointer). 在破解的時候,經常可以看見一個標準的函數起始代碼:
push ebp ;保存當前ebp
mov ebp,esp ;EBP設爲當前堆棧指針
sub esp, xxx ;預留xxx字節給函數臨時變量.
這樣一來,EBP 構成了該函數的一個框架, 在EBP上方分別是原來的EBP, 返回地址和參數. EBP下方則是臨時變量. 函數返回時作 mov esp,ebp/pop ebp/ret 即可.
ESP 專門用作堆棧指針,被形象地稱爲棧頂指針,堆棧的頂部是地址小的區域,壓入堆棧的數據越多,ESP也就越來越小。在32位平臺上,ESP每次減少4字節。
CR1是未定義的控制寄存器,供將來的處理器使用。
CR2是頁故障線性地址寄存器,保存最後一次出現頁故障的全32位線性地址。
CR3是頁目錄基址寄存器,保存頁目錄表的物理地址,頁目錄表總是放在以4K字節爲單位的存儲器邊界上,因此,它的地址的低12位總爲0,不起作用,即使寫上內容,也不會被理會。
這幾個寄存器是與分頁機制密切相關的,因此,在進程管理及虛擬內存管理中會涉及到這幾個寄存器,讀者要記住CR0、CR2及CR3這三個寄存器的內容。
esp:寄存器存放當前線程的棧頂指針
ebp:寄存器存放當前線程的棧底指針
eip:寄存器存放下一個CPU指令存放的內存地址,當CPU執行完當前的指令後,從EIP寄存器中讀取下一條指令的內存地址,然後繼續執行。
參考:
https://www.cnblogs.com/huangsitao/p/10299300.html
https://www.cnblogs.com/gaochundong/p/windbg_cheat_sheet.html