Windbg入门实战讲解

windbg做为windows调试的神器。是查看内核某些结构体，挖掘漏洞，调试系统内核，调试驱动等必不可少的工具。可是因为windbg命令众多，界面友好程度较差，从而形成新人上手不易，望而却步。本文抛砖引玉，从基础入手，讲解windbg。但愿同做为新人的咱们一块儿进步！

注意：本文省略部分为：1.如何加载系统符号。2.如何开启双机调试。由于这部分的内容，网络上太多了。读者可自行百度。可是请注意：这两部分也是很重要的。

0×1 程序代码

为了总体掌握windbg的调试流程。本文实例采用本身编写。好处是能够更为主动的熟悉windbg的调试命令，更加直观的查看windbg的显示结果。

0×2 windbg调试入口

打开windbg，点击：File->Open Executable，选中编译好的exe文件。Windbg会自动给程序下一个断点。可是咱们不知道这个断点是否属于咱们程序的区域。因此，咱们先要看下，断点是断在了什么地方。咱们在windbg命令中输入!address 断点地址。以下图所示：

图中不只仅显示了断点所在的“领空区域”，还显示了一些文件的其余属性。因为此时的断点再也不咱们须要的领空，因此下面要使用上文提过的伪寄存器了。咱们在windbg中输入：bp $exentry。也能够输入bp @$exentry。@的做用是让windbg再也不去寻找系统符号，从而加快了执行速度。Bp呢，咱们依旧能够看下windbg的帮助文档。从中，咱们能够知道，bp就是给地址下一个断点。好让程序中断下来。那$exentry又是什么呢？咱们能够在Help->Content点击索引，输入：pseudo查看。$exentry就是咱们的程序入口点啦。

以后咱们输入bl命令；能够查看咱们下的断点。

输入g命令；g就是运行程序的意思。运行程序，程序就会停在咱们的程序入口点了，也就是oep。

但这依然不是咱们想要的。这下系统符号表的做用就体现出来了。虽然本程序加载的系统符号表是vs2015debug时候自动生成的，可是这个系统符号表与从微软下载的系统符号表的做用是同样的。

咱们在windbg中输入：bp main;就这么简单。注意：这个符号表是利用的本地符号表。输入g命令；windbg会自动给咱们断在main函数中。

G命令结束后，这里咱们须要注意一下：点击windbg工具条的Source mode off。当Souce mode on的时候，debug的单步命令会直接按照函数的步骤执行，而不是从真正单步汇编命令，这点上你们能够尝试切换不一样的开关。具体执行以下图所示：

0×3重点命令

1)   栈内容查看

这里很重要的一点是：本程序是为了体会windbg的流程和指令。因此，不会回避源代码的显示问题。咱们单步到程序的第一个call函数中，能够用F8或者F11步入其中。输入命令：kv。或者点击View->Call Stack查看。此时，咱们能够看到栈中的信息是同样的。从中，咱们也能够看出kv就是显示堆栈详细信息的命令啦。k命令在windows漏洞挖掘，了解windows执行过程当中是很是有用的命令之一。

从下图中，咱们也能够看到kv命令后，001218a7正是第一个call函数的返回地址。00000001和00000002正是传递给f_add的参数。在CVE漏洞号码验证的程序中，常常看到大神门查看栈信息就是如此。而ChildEBP信息是什么呢？以下图所示，经过图所示看到：ChildEBP原来就是子函数栈基址的指针地址啦。RetAddr 就是返回的函数地址，Args to Child 就是显示的参数啦。

2)字符串的查看

继续F10，运行完第一个call函数后，windbg显示了一个‘string’的字符。那么想要知道这个字符是什么呢？怎么查看呢？咱们这里使用了db命令，就是以byte的形式显示内存数据。Dd命令就没有后面的字符串啦，比较单调，读者能够本身尝试。

咱们运行到四个参数的f_add函数中去，kb查看栈的信息，此时，发现Args to child只能显示3个参数，若是有多个参数怎么办呢？可使用kp或者kP命令，他们的结果是同样的，知识换行与否。结果以下图所示：

3)结构查看

假如咱们不知道st_m的结构，想要产看一下st_m的结构是什么，可使用 dt st_m;能够看到以下结果。3个int类型，每一个占用4字节。

有了这些知识，咱们就能够简单的进行一些windows的调试；不信，看下面的例子。

0×4 Windows双机调试(实战)

这次利用的漏洞来源：www.exploit-db.com 属于SEH Buffer Overflow类型。

执行前：

执行后：

1)寻找指定进程和附加

打开wavtomp3这个软件。咱们经过.process 0 0命令，查看XP中运行的进程。而后找到指定进程后，经过.process /i 进程地址。切换到实际须要的进程中去。切换后；记得‘g’运行下。

2)寻找适合的断点

合适的断点在许多的调试中很重要，断点须要经验的积累和技术的积累。没有一招吃遍天下的断点。本文由于是SHE的缓冲区溢出。而且在用户层触发异常，因此这里咱们直接能够下断：bp RtlpExecuteHandlerForException。也能够求稳一点；给ReadFile函数下断点： bp ReadFile 。可是请注意：必定要.reload /f下函数的符号表。不然断点不必定成功。下断后以下图所示：

3)分析代码

运行程序后；能够断在RtlDisPatchException部分函数内。经过r命令，查看寄存器，经过db查看内存字节。例如想查看esp寄存器的值，只须要：dd esp便可。以下图所示：

图中dex的数值是shellcode文本的长度。Eip已经已经指向了异常部分。Esp指向的是栈顶。经过db esp-100 L200查看了从esp这个地址从上往下的

0×200单位的字节。

单步执行下去(F10)。遇到第一个call；图中跟入以下图：

上图中，executehandler2()函数传递了5个参数。而shellcode执行就在executehandler2()中的call ecx。咱们利用命令观看：dd 0104fb24地址中的第一个参数就是咱们要的执行函数的地址。也是_EXCEPTION_REGISTRATION_RECORD结构的Handler回调函数地址 。

见下图： 图中经过!exchain查看了异常的地址。经过!slist $teb _EXCEPTION_REGISTRATION_RECORD查看了当前异常链的内容。从下图也能证实，异常链的Handler是回调函数。

继续单步跟入（F8），咱们发现这里其实要弹出一个Messagebox的异常对话框的。内容以下：

继续单步，就会jmp到shellcode的内容了。或者咱们能够用经过一种结构来观察。此时在windbg中，输入!teb;能够看到目前的teb结构目前的值。Dt  _NT_TIB又能够观察到nt_tib内部结构。

经过上下图对比，能够看到图中咱们的shellcode：0x909006eb和0x004043a4就是覆盖了fs:[0]，分别指向了下一个异常块和本次的回调函数。因此上文有一个call ecx，实际上是call 0x004043a4。已经指向了咱们想要的东西。

下面这个图；已是咱们想要执行的指令的代码了。三个部分的代码都是同样的。

4)结束语

本文主要强调对windbg的调试操做命令作说明。对往后如何调试windows系统有所帮助。在安全行业的道路上，但愿你们共勉。