Windbg_12-程序的关键信息
1.内容概要:
- 模块分析
- 几个常用的关键信息
1.2:PE文件格式是Windows操作系统可执行文件的文件格式,常见的PE文件有.exe文件,
.dll文件, .sys文件等。
程序运行前,先将所需的模块,包括.exe,.dll或者.sys加载到内存中,内存中每一个文件称为内存映像,调试的时候称为模块。
查看模块信息的常用命令:
此外,windbg为了能比较好的引用被调试程序的关键数据,还引入了伪寄存器的概念,部分常用的伪寄存器使用如下:
PEB:进程环境块:每一个进程有一个,存储进程相关信息。
TEB:线程环境块:每一个线程有一个,存储线程相关信息。
1.3:使用演示:
VS 中编辑源程序,并编译成exe,作为测试程序:
用windbg打开程序,设置符号路径,符号路径配置可以保存到工作空间,以后使用此工作空间调试
程序,就不用每次配置符号路径。
Test2.exe的文件信息:
使用$exentry查看Test2.exe模块的入口点:
应该加载符号: