1.WinDbg实践--入门篇
2.Windbg学习及在CTF中解题
3.c语言如何调试

WinDbg实践--入门篇

       WinDbg，调试调试即Windows平台上的源码源代调试工具，它由Windows和Debug两个词组合而成，调试调试具备强大的源码源代调试功能，能够调试用户模式、调试调试内核模式以及dump文件等。源码源代树洞直链php源码其调试命令分为基本命令、调试调试元命令和扩展命令三类。源码源代基本命令和元命令是调试调试调试器自带的功能，元命令以"."开头，源码源代而扩展命令则以"!"开头。调试调试以下将通过实例和命令来实践WinDbg的源码源代使用。

       一.配置微软符号服务器[未能成功]

       在Windows程序中，调试调试贪玩蓝月 源码通常会存在与XXX.exe相同名字的源码源代XXX.pdb文件，即Program Debug Database。调试调试pdb文件包含调试信息，由链接器生成。符号服务器（Symbol Server）是一个文件服务器，将调试符号进行集中存储，表白空间源码下载使得WinDbg能够解析符号名称。微软的符号服务器是常用的公共符号服务器，即msdl.microsoft.com/download/symbols，它是调试Windows应用程序和Windows内核程序不可或缺的。当然，用户也可以搭建自己的linux后门蠕虫源码符号服务器。

       1.WinDbg默认的设置路径

       File -> Settings -> Debugging settings，默认的源码路径、符号路径和缓存路径如下：

       2.设置_NT_SYMBOL_PATH环境变量

       设置_NT_SYMBOL_PATH环境变量的值为：

       SRV*D:\mysymbol*/thread-... [3]Windbg调试命令详解： yiiyee.cn/blog///... [4]WinDbg用法详解： wenku.baidu.com/view/ca... [5]Good tutorial for WinDbg： stackoverflow.com/quest... [6]WinDbg设置调试符号路径与调试符号下载： blog.csdn.net/qq_... [7]dotnet/symreader-portable： github.com/dotnet/symre... [8]搭建自己的符号服务器： bbs.pediy.com/thread-... [9]Windows调试工具： docs.microsoft.com/zh-c... []WinDbg Online Help： dbgtech.net/windbghelp/... []WinDbg官方文档： windbg.org/ [].NET探秘：MSIL权威指南： url.ctfile.com/f/... (访问密码: )

       本文由 mdnice 多平台发布

Windbg学习及在CTF中解题

       Windbg是一款强大的Windows调试工具，专为0和3环程序的分析和调试设计，对于定位和修复程序错误至关重要。它由微软开发，金牛启动指标源码具有丰富的功能，适用于软件开发、故障排除和性能优化。

       安装Windbg 时，需先下载Windows SDK，然后按照相关教程进行安装。其内置的help文档提供了详尽的使用指导。系统崩溃时，.dmp文件会记录内存映像，帮助我们理解程序的执行状态，而pdb文件则是存储调试符号信息，便于将二进制地址映射回源代码。

       Windbg的基础命令包括查看数据的dt，如查看变量信息；执行与调试的bp（设置断点）、g（运行程序）、u（反汇编）、r（查看寄存器）等；以及辅助分析的.sympath（符号加载）和.load（导入插件）。利用!py mona这样的扩展功能，可以进行漏洞挖掘和ROP Chain的生成。

       在实际的CTF解题中，比如一道涉及内存分析的题目，可以使用Windbg Preview分析dmp文件。通过命令如!analyze -v深入查找崩溃原因，查看加载的模块，利用pdb排除系统dll，通过内存布局分析可疑dll，最终找到隐藏的flag。

c语言如何调试

       ä¸€ç§æ˜¯æºç debug，即分析源码来找出bug位置，一般使用printf()打印出程序执行每一步的信息;

       ä¸€ç§æ˜¯å¯æ‰§è¡Œæ–‡ä»¶debug，需要使用调试器来进行。

       1、源码debug

       ç±»ä¼¼äºŽä¸‹é¢çš„源码，主要通过程序执行时输出的信息，来定位bug出现的位置，然后再修改源码。

       #include <stdio.h> 

       void f() {  ; } 

       int main()

       {

       #ifdef _DEBUG

           printf("start main function!\n");

       #endif

           void f();

       #ifdef _DEBUG

           printf("leave main function !\n");

       #endif

           return 0;

       }

       2、可执行文件调试，windows平台常用的就是vs/vc自带的调试，另外一个就是微软自家开发的调试器windbg。Linux平台以gdb为常用。

       IDE自带的调试器以VC6.0为例，编写完代码后，按快截键盘F，即可进入调试，此时右键，选择“go to  disassembly"即可查看到程序的反汇编代码 。一般这种情况，主要是为了对C语言进行反汇编学习。

       Windbg的功能非常多，可以进行源码调试、可以调试可执行文件、还可以进行内核调试，也可以调试dump文件，用的多了，自然熟悉，要调试可执行文件，只需要点击”File"在弹出的对话框中选择“Open Executeable"，然后找到自己要调试的程序即可。

       Linux常用的是Gdb调试器，值得注意的是，要使用gdb调试，在使用gcc或者g++编译C/c++文件时，需要添加-g参数才可以生成符号表。下图是用gdb分析C++中变量分布的一张截图，大体上看一下长什么样，用的多了自然熟悉，不需要可以去学习。