刺激战场
六合彩
贵宾厅
  • 1387阅读
  • 1回复

55.windbg-!dh、!lmi(显示映像的头部) [复制链接]

上一主题 下一主题
离线啊冲
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2016-02-12



目录(?)[+]



!dh


!dh 扩展显示指定映像的头部。

语法


!dh [Options] Address
!dh -h



参数

Options下面的选项之一:-f
显示文件头。


[html] view plain copy
  1. 0:000>  !dh kernel32 -f  
  2.   
  3. File Type: DLL  
  4. FILE HEADER VALUES  
  5.      14C machine (i386)  
  6.        4 number of sections  
  7. 506DBD3E time date stamp Fri Oct 05 00:45:50 2012  
  8.   
  9.        0 file pointer to symbol table  
  10.        0 number of symbols  
  11.       E0 size of optional header  
  12.     2102 characteristics  
  13.             Executable  
  14.             32 bit word machine  
  15.             DLL  
  16.   
  17. OPTIONAL HEADER VALUES  
  18.      10B magic #  
  19.     9.00 linker version  
  20.    C5000 size of code  
  21.     E000 size of initialized data  
  22.        0 size of uninitialized data  
  23.    4CD6F address of entry point  
  24.     1000 base of code  
  25.          ----- new -----  
  26. 77250000 image base  
  27.     1000 section alignment  
  28.     1000 file alignment  
  29.        3 subsystem (Windows CUI)  
  30.     6.01 operating system version  
  31.     6.01 image version  
  32.     6.01 subsystem version  
  33.    D4000 size of image  
  34.     1000 size of headers  
  35.    E1125 checksum  
  36. 00040000 size of stack reserve  
  37. 00001000 size of stack commit  
  38. 00100000 size of heap reserve  
  39. 00001000 size of heap commit  
  40.      140  DLL characteristics  
  41.             Dynamic base  
  42.             NX compatible  
  43.    B51C0 [    A9B1] address [size] of Export Directory  
  44.    BFB74 [     1F4] address [size] of Import Directory  
  45.    C7000 [     528] address [size] of Resource Directory  
  46.        0 [       0] address [size] of Exception Directory  
  47.        0 [       0] address [size] of Security Directory  
  48.    C8000 [    B0B0] address [size] of Base Relocation Directory  
  49.    C59B4 [      38] address [size] of Debug Directory  
  50.        0 [       0] address [size] of Description Directory  
  51.        0 [       0] address [size] of Special Directory  
  52.        0 [       0] address [size] of Thread Storage Directory  
  53.    82890 [      40] address [size] of Load Configuration Directory  
  54.        0 [       0] address [size] of Bound Import Directory  
  55.     1000 [     DFC] address [size] of Import Address Table Directory  
  56.        0 [       0] address [size] of Delay Import Directory  
  57.        0 [       0] address [size] of COR20 Header Directory  
  58.        0 [       0] address [size] of Reserved Directory  


-s
显示节头。


[html] view plain copy
  1. 0:000>  !dh kernel32 -s  
  2.   
  3. SECTION HEADER #1  
  4.    .text name  
  5.    C4A15 virtual size  
  6.     1000 virtual address  
  7.    C5000 size of raw data  
  8.     1000 file pointer to raw data  
  9.        0 file pointer to relocation table  
  10.        0 file pointer to line numbers  
  11.        0 number of relocations  
  12.        0 number of line numbers  
  13. 60000020 flags  
  14.          Code  
  15.          (no align specified)  
  16.          Execute Read  
  17.   
  18.   
  19. Debug Directories(2)  
  20.     Type       Size     Address  Pointer  
  21.     cv           25       c59f0    c59f0    Format: RSDS, guid, 2, kernel32.pdb  
  22.     (    10)       4       c59ec    c59ec  
  23.   
  24. SECTION HEADER #2  
  25.    .data name  
  26.      FF0 virtual size  
  27.    C6000 virtual address  
  28.     1000 size of raw data  
  29.    C6000 file pointer to raw data  
  30.        0 file pointer to relocation table  
  31.        0 file pointer to line numbers  
  32.        0 number of relocations  
  33.        0 number of line numbers  
  34. C0000040 flags  
  35.          Initialized Data  
  36.          (no align specified)  
  37.          Read Write  
  38.   
  39. SECTION HEADER #3  
  40.    .rsrc name  
  41.      528 virtual size  
  42.    C7000 virtual address  
  43.     1000 size of raw data  
  44.    C7000 file pointer to raw data  
  45.        0 file pointer to relocation table  
  46.        0 file pointer to line numbers  
  47.        0 number of relocations  
  48.        0 number of line numbers  
  49. 40000040 flags  
  50.          Initialized Data  
  51.          (no align specified)  
  52.          Read Only  
  53.   
  54. SECTION HEADER #4  
  55.   .reloc name  
  56.     B0B0 virtual size  
  57.    C8000 virtual address  
  58.     C000 size of raw data  
  59.    C8000 file pointer to raw data  
  60.        0 file pointer to relocation table  
  61.        0 file pointer to line numbers  
  62.        0 number of relocations  
  63.        0 number of line numbers  
  64. 42000040 flags  
  65.          Initialized Data  
  66.          Discardable  
  67.          (no align specified)  
  68.          Read Only  



-a显示所有的头信息。Address
指定映像的16进制地址。(最好直接写文件名,如kernel32,不需要后缀,如果要写地址,那么必须写文件起始地址,但!lmi可以)


[html] view plain copy
  1. 0:000> .shell -ci "lm" find /I "kernel32"  
  2. 77250000 77324000   kernel32   (deferred)              
  3. .shell: Process exited  
  4. 0:000> !dh 77250001 -a  
  5. No file header  
  6. 0:000> !dh 77250000 -a  
  7.   
  8. File Type: DLL  
  9. FILE HEADER VALUES  



-h调试器命令窗口中显示该扩展命令的帮助文本。  


[html] view plain copy

  1. 0:000> !dh -h  
  2. Usage: dh [options] address  
  3.   
  4. Dumps headers from an image based at address  
  5.   
  6. Options:  
  7.   
  8.    -a      Dump everything  
  9.    -f      Dump file headers  
  10.    -s      Dump section headers  







!lmi



!lmi 扩展显示某个模块的详细信息。



语法

!lmi Module




参数

Module用名字或者基地址(可以在地址范围内)指定一个已加载的模块。
[html] view plain copy

  1. 0:000> !lmi kernel32  
  2. Loaded Module Info: [kernel32]  
  3.          Module: kernel32  
  4.    Base Address: 77250000  
  5.      Image Name: C:\windows\system32\kernel32.dll  
  6.    Machine Type: 332 (I386)  
  7.      Time Stamp: 506dbd3e Fri Oct 05 00:45:50 2012  
  8.            Size: d4000  
  9.        CheckSum: e1125  
  10. Characteristics: 2102    
  11. Debug Data Dirs: Type  Size     VA  Pointer  
  12.              CODEVIEW    25, c59f0,   c59f0 RSDS - GUID: {92AC7109-B0A9-4163-9805-C6AB38E38F99}  
  13.                Age: 2, Pdb: kernel32.pdb  
  14.                 CLSID     4, c59ec,   c59ec [Data not mapped]  
  15.     Symbol Type: DEFERRED - No error - symbol load deferred  
  16.     Load Report: no symbols loaded  
  17. 0:000> !lmi 772500ee  
  18. Loaded Module Info: [772500ee]  
  19.          Module: kernel32  
  20.    Base Address: 77250000  
  21.      Image Name: C:\windows\system32\kernel32.dll  
  22.    Machine Type: 332 (I386)  
  23.      Time Stamp: 506dbd3e Fri Oct 05 00:45:50 2012  
  24.            Size: d4000  
  25.        CheckSum: e1125  
  26. Characteristics: 2102    
  27. Debug Data Dirs: Type  Size     VA  Pointer  
  28.              CODEVIEW    25, c59f0,   c59f0 RSDS - GUID: {92AC7109-B0A9-4163-9805-C6AB38E38F99}  
  29.                Age: 2, Pdb: kernel32.pdb  
  30.                 CLSID     4, c59ec,   c59ec [Data not mapped]  
  31.     Symbol Type: DEFERRED - No error - symbol load deferred  
  32.     Load Report: no symbols loaded  



善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
离线v2680267313

只看该作者 沙发  发表于: 2016-04-30
用户被禁言,该主题自动屏蔽!
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个