本帖最后由 冥界3大法王 于 2021-6-17 09:16 编辑
WinDbg是继SoftICE、TRW2000之后的内核级调试器;不仅可以调试应用程序,还可以分析崩溃转储文件等。
大家可以从:
https://down.52pojie.cn/Tools/De ... v10.0.19041.685.msi
https://down.52pojie.cn/Tools/De ... v10.0.19041.685.msi
下载到
或许人品不好,俺在Win10上运行都是一闪而过。
https://www.52pojie.cn/forum.php ... 17&highlight=windbg该贴有个现成的
既然要玩就玩新的,总不能穿新鞋踩。。。
下哪个版本?得看您的需求
调试环境可以看这里:https://docs.microsoft.com/zh-cn ... for-windows-package
下面以[size=2.125]WinDbg Preview来说
文件夹的结构大致是上面这个样子的,就一个主程序。当前是能调试32位还是64位?还是两个都行,我也不清楚,明白人你要告诉我哟~~
第1次启动就是上面这个样子的。
对于我等软件玩家来说,当然是各个菜单都点击下啦
文件菜单就是这个样子的
Launch executable 启动可执行文件;这个就是调试最简单的那种EXE
Launch executable(advanced) 启动可执行程序(高级)。。。。。这种呢?可以往界面上输入启动的参数
Attach to process 附加到进程。。。。。。。。。。跟OllyDbg/x32dbg/x64dbg一样一样的
Open dump file 打开转储文件。。。。。。。。这个是特有的技能,调试dump文件用的,比如兰屏生成的文件
Open trace file 打开跟踪文件
Connect to remote debugger 连接到远程调试器
Connect to process server 连接到进程服务器
Attach to kernel 附加到内核
Launch app package 启动应用程序包;这个是调试商店中app用的
Open workspace 打开工作区,你先得保存一个工作区
好吧,我们简单的说了一下,就不展开一一截图了,用到再说。
我们随便先点一下左侧面板
float 就是浮动的意思;也就是说这个窗体可以浮动显示
dock 则是停靠,英文会给你翻译成码头
auto hide 则是自动隐藏;这里专指作用于侧边位置
为什么要仔细的说这些呢? 因为世上有种东西叫做“习惯”;一旦时间长了你对这种东西有所依赖;就会发现有些优点和缺点。
Windbg配套练习CrackMe(密码:crackmes.one).rar
(51.92 KB, 下载次数: 29)
接下来,我们用一个从网上找的CrackMe开始吧~~
解包到桌面,用x32dbg打开,为啥要打开呢?参考VA地址,字符串啊;对比两种调试器的区别和相同点啊~~
把陌生事物与熟悉事物联系起来啊,加深了解和认识啊。都跟小姐姐联系起来你就懂了。
很显然
[Asm] 纯文本查看 复制代码
00EC110C | FF15 10D1EC00 | call dword ptr ds:[<&GetDlgItemTextA>]
00EC1112 | B9 D81AED00 | mov ecx,crackme1.ED1AD8 | ED1AD8:"cr4ckingL3ssons"
上面两句就是关键的代码
先尝试我们熟悉的拖入文件法
拖进来后就是上面这个样子的 
你们是不是跟楼主一样,感觉十分的别扭和不舒服呢?
因为跟我们熟悉的OD/x32dbg/x64dbg在外面上有很大的不同
再有很多东西仍然需要输入长长的命令进行调试
先点下最左边的汇编,再点下菜单里的浮动
看到绿色箭头所指的四个小箭头没有?
这里暗示着你可以释放到屏幕的 上下左右 的侧边上哟~~
点之后菜单项的另外两项就是灰色了。
重复执行上面的操作,直到布局满意为止。
如果先浮动,再拖动到汇编窗口的左面,再点该窗口的自动隐藏;则会出现看这里哟~~
所示位于屏幕左面的效果
你可以把自己喜欢的大窗体放入模拟OD/x32dbg/x64dbg的布局效果
满意后
保存布局
下次再载入布局就好
配图看上面截图吧~~
不满意就点Reset Windows(重设窗口)
当然你还可以扔个Watch窗口到左侧
由于Command windows占了很大的位置
所以左下我们不能放内存窗口了
所以最左侧,我们选择了【内存、断点、笔记】点击显示
不理会时则自动隐藏好吧,炎炎夏日就到这里吧。
| 
[复制链接]
发表于 2021-6-12 19:32
楼主是妹子吗
