禁用VS的自动下载符号功能
禁用VS的自动下载符号功能
WinDbg无法输出的KdPrint的问题
防止windows删除蓝屏dump
以下命令适用于 OllyDbg 的快捷命令栏插件(显示于程序的状态栏上方) ======================================================== CALC 判断表达式 WATCH 添加监视表达式 AT / FOLLOW Disassemble at address 在地址进行反汇编 ORIG Disassemble at EIP 反汇编于 EIP DUMP Dump at address 在地址转存 DA Dump as disassembly 转存为反汇编代码 DB D…
GFLAGS打开Create user mode stack trace database 设置符号路径SET _NT_SYMBOL_PATH=symbol path 拍第1次快照umdh.exe -p:6500 -f:D:\firstsnap.txt 拍第2次快照umdh.exe -p:6500 -f:D:\secondsnap.txt 对比两次快照的结果umdh.exe -d D:\firstsnap.txt D:\secondsnap.txt -f:D:\diff.txt PS:如果是BSTR泄漏,那么需要设…
设置JIT调试器 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug] "Auto"="1" "Debugger"="\"C:\\Program Files\\Immunity Inc\\Immunity Debugger\\ImmunityDebugger.exe\&q…
说明: 0x776d7880+0x00c为ntdll!_PEB_LDR_DATA首地址+ntdll!_LIST_ENTRY.FLink的偏移 kd> !list "-t ntdll!_LIST_ENTRY.FLink -e -x \"dd @$extret l4; dt ntdll!_PEB_LDR_DATA @$extret-0x00c\" 0x776d7880+0x00c" dd @$extret l4; dt ntdll!_PEB_LDR_DATA @$extre…
虚拟机中的机器需要执行 C:\Windows\system32>bcdedit /dbgsettings SERIAL DEBUGPORT:1 BAUDRATE:115200 操作成功完成。 C:\Windows\system32>bcdedit /copy "{current}" /d "Debug" 已将该项成功复制到 {1718d1de-e304-11e8-8475-ddfc321b22a9}。 C:\Windows\system32>bcdedit …
0:014> .process Implicit process is now 7fe5f000 0:014> dt _PEB 7fe5f000 ntdll!_PEB +0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' +0x002 BeingDebugged : 0 '' +0x003 BitField : 0x4 '' +0…