通常,我需要始终以相同的方式来研究转储文件,并且我想使它自动化。我正在使用Windbg作为工具,并且正在考虑使用Windbg脚本。
我已经尝试过使用PYKD进行一些尝试,但是我不太喜欢这种开销,因此我选择了标准的Windbg脚本,但这正陷入噩梦之中,让我向您展示我想要的东西做
0:001> kb
# RetAddr : Args to Child : Call Site
00 00007ffc`26272685 : ffffffff`fffffffe 00007ff7`06e563f0 00007ff7`00000000 0000005a`1fb6fd70 : user32!NtUserGetMessage+0xa
01 00007ff7`06d87596 : 00000000`00000008 00007ff7`06e5d048 00000000`00007c1c 0000005a`00000004 : user32!GetMessageW+0x25
02 00007ff7`06d87673 : 0000005a`1f2b3710 00007ff7`06e5c7d0 0000005a`1f2ac270 00000000`00000002 : <Application>!CServiceModule::Run+0x8ee [sourcefile.cpp @ 1905]
03 00007ffc`26875ada : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : <Application>!CServiceModule::ServiceMain+0x63 [sourcefile.cpp @ 1379]
04 00007ffc`26ef13d2 : 00007ffc`26875aa0 0000005a`1f2ac270 00000000`00000000 00000000`00000000 : sechost!ScSvcctrlThreadA+0x3a
05 00007ffc`270454f4 : 00007ffc`26ef13b0 00000000`00000000 00000000`00000000 00000000`00000000 : kernel32!BaseThreadInitThunk+0x22
06 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!RtlUserThreadStart+0x34
0:001> dx Debugger.Sessions[0].Processes[26520].Threads[14812].Stack.Frames[2].SwitchTo();dv /t /v
// The second command "dx ..." happens by clicking on the DML link of the line, corresponding with the line, containing "CServiceModule::Run".
现在,如何在Windbg脚本中执行此操作?
kb
命令并将结果放入变量中。 (该怎么做?我已经尝试过使用as
和aS
了,但似乎都不起作用)如果无法在一个变量中得到整个kb
的结果,请尝试使用.foreach
,如下例所示:
.foreach ( token { kb} )
{
.printf "TEST\n"
}
=>即使不起作用:kb
大约有8行结果,而单词TEST
被打印了78次。
代替打印单词“ TEST”,而是打印变量token
并查看其外观。
=>怎么做?我已经尝试过.printf "%msu \n" , ${token}
或@$token
,但是没有任何作用。
即使我能正常工作:如何进行字符串处理,十进制/十六进制数字转换……?
别忘了:如何编译这样的脚本?我当前正在尝试在Windbg中运行该脚本,有时会产生编译错误,但是这些错误非常难以理解(我添加了新行,导致了问题,但是复杂错误(不是错字)甚至没有提到新添加的错误)行)。
您可能会说:只看this URL下提到的示例,但我找不到运行中的标准Windbg命令的示例,并将其结果存储在变量中(是我要做的第一件事)。
如果我的脚本可以正常工作,我可以将这篇文章变成针对提到的(以及新添加的)问题的常规“ Windbg脚本常见问题解答”。
第一个答案后进行编辑
我意识到我误会了kb
命令:我需要使用的实际命令是~* k
,给出以下结果:
(小提示:我只是截图,而不是文本副本,以便强调DML超链接)
如您所见,有一些DML结果,我想在包含CServiceModule::Run
的行上“单击”。当我手动执行此操作时,似乎可以理解为以下命令:
dx Debugger.Sessions[0].Processes[26520].Threads[14812].Stack.Frames[2].SwitchTo()
此处26520是6798的HexToDec转换,
而14812是39DC的HexToDec转换。
(均可从屏幕截图的Id: 6798.39dc
中检索)
所以我“需要”字符串操作和HexToDec转换以模拟DML单击。但是,如果您知道将“单击”操作放入脚本的更简单方法,我将非常感谢!
答案 0 :(得分:1)
是定界符 此命令不是为了读取行
如果要打印令牌,请在别名解释器中按原样使用
0:001> kb
# ChildEBP RetAddr Args to Child
00 0147fa44 7706f20f 7642d6f7 00000000 00000000 ntdll!DbgBreakPoint
01 0147fa74 75d1ed6c 00000000 0147fac0 770337eb ntdll!DbgUiRemoteBreakin+0x3c
02 0147fa80 770337eb 00000000 7642d643 00000000 kernel32!BaseThreadInitThunk+0xe
03 0147fac0 770337be 7706f1d3 00000000 00000000 ntdll!__RtlUserThreadStart+0x70
04 0147fad8 00000000 7706f1d3 00000000 00000000 ntdll!_RtlUserThreadStart+0x1b
0:001> r $t0 =0 ;.foreach (token { kb } ) { r $t0 = @$t0+1 ; .printf "\"token\" %2d ${token}\n" , @$t0 }
"token" 1 #
"token" 2 ChildEBP
"token" 3 RetAddr
"token" 4 Args
"token" 5 to
"token" 6 Child
"token" 7 00
"token" 8 0147fa44
"token" 9 7706f20f
"token" 10 7642d6f7
"token" 11 00000000
"token" 12 00000000
"token" 13 ntdll!DbgBreakPoint
"token" 14 01
"token" 15 0147fa74
"token" 16 75d1ed6c
"token" 17 00000000
"token" 18 0147fac0
"token" 19 770337eb
"token" 20 ntdll!DbgUiRemoteBreakin+0x3c
"token" 21 02
"token" 22 0147fa80
"token" 23 770337eb
"token" 24 00000000
"token" 25 7642d643
"token" 26 00000000
"token" 27 kernel32!BaseThreadInitThunk+0xe
"token" 28 03
"token" 29 0147fac0
"token" 30 770337be
"token" 31 7706f1d3
"token" 32 00000000
"token" 33 00000000
"token" 34 ntdll!__RtlUserThreadStart+0x70
"token" 35 04
"token" 36 0147fad8
"token" 37 00000000
"token" 38 7706f1d3
"token" 39 00000000
"token" 40 00000000
"token" 41 ntdll!_RtlUserThreadStart+0x1b
我不理解您的进一步查询,所以我假设您的意图是
0:001> $$ putting the result of kb into a variable use javascript
0:001> dx @$foo = Debugger.Utility.Control.ExecuteCommand("kb")
@$foo = Debugger.Utility.Control.ExecuteCommand("kb")
[0x0] : # ChildEBP RetAddr Args to Child
[0x1] : 00 0147fa44 7706f20f 7642d6f7 00000000 00000000 ntdll!DbgBreakPoint
[0x2] : 01 0147fa74 75d1ed6c 00000000 0147fac0 770337eb ntdll!DbgUiRemoteBreakin+0x3c
[0x3] : 02 0147fa80 770337eb 00000000 7642d643 00000000 kernel32!BaseThreadInitThunk+0xe
[0x4] : 03 0147fac0 770337be 7706f1d3 00000000 00000000 ntdll!__RtlUserThreadStart+0x70
[0x5] : 04 0147fad8 00000000 7706f1d3 00000000 00000000 ntdll!_RtlUserThreadStart+0x1b
0:001> dx -r0 @$foo[1]
@$foo[1] : 00 0147fa44 7706f20f 7642d6f7 00000000 00000000 ntdll!DbgBreakPoint
0:001> dx -r0 @$foo[2]
@$foo[2] : 01 0147fa74 75d1ed6c 00000000 0147fac0 770337eb ntdll!DbgUiRemoteBreakin+0x3c
再次我不知道要转换为十六进制或dec的内容
所以下面的假设
尝试从堆栈中分解十六进制以及大写字符串
这样的脚本
function log(a1,a2)
{
host.diagnostics.debugLog(a1 +" " +a2 + "\n");
}
function exec (cmdstr)
{
return host.namespace.Debugger.Utility.Control.ExecuteCommand(cmdstr);
}
function kbtok()
{
var temp = exec("kb")
for ( line of temp )
{
var token = line.split(" ")
for (tok of token)
{
//log(tok)
try {
var num = host.parseInt64(tok,16)
log(tok , num)
}
catch(err) {
log(tok.toUpperCase(), " ")
}
}
}
}
像
一样使用 .load jsprovider
.scriptload ---路径----
dx @ $ scriptcontents.kbtok()
第一段中的堆栈样本输出
0:001> dx @$scriptContents.kbtok()
#
CHILDEBP
RETADDR
ARGS
TO
CHILD
00 0
013bfef4 20709108
7706f20f 1996943887
763ed3a7 1983828903
00000000 0
00000000 0
NTDLL!DBGBREAKPOINT
01 1
013bff24 20709156
75d1ed6c 1976692076
00000000 0
013bff70 20709232
770337eb 1996699627
NTDLL!DBGUIREMOTEBREAKIN+0X3C
02 2
013bff30 20709168
770337eb 1996699627
00000000 0
763ed3f3 1983828979
00000000 0
KERNEL32!BASETHREADINITTHUNK+0XE
03 3
013bff70 20709232
770337be 1996699582
7706f1d3 1996943827
00000000 0
00000000 0
NTDLL!__RTLUSERTHREADSTART+0X70
04 4
013bff88 20709256
00000000 0
7706f1d3 1996943827
00000000 0
00000000 0
NTDLL!_RTLUSERTHREADSTART+0X1B
@$scriptContents.kbtok()
您不编译脚本 脚本被解释
对于windbg脚本使用$$> a << / strong> ---脚本的路径----
对于javascript,请使用 .scriptload 命令