WinDbg常用命令系列---显示引用的内存(dda、ddp、ddu、dpa、dpp、dpu、dqa、dqp、dqu)
命令dda, ddp, ddu, dpa, dpp, dpu, dqa, dqp, 和 dqu在指定位置显示指针,取消对该指针的引用,然后以各种格式显示结果位置的内存。
ddp [Options] [Range] dqp [Options] [Range] dpp [Options] [Range] dda [Options] [Range] dqa [Options] [Range] dpa [Options] [Range] ddu [Options] [Range] dqu [Options] [Range] dpu [Options] [Range]
WinDbg中的.natvis文件和类型模板
在处理二进制数据时,我们经常使用dt命令将字节分组到有意义的字段中,例如。
0:000> dt ntdll!_PEB @$peb+0x000 InheritedAddressSpace : 0 '' +0x001 ReadImageFileExecOptions : 0 '' +0x002 BeingDebugged : 0x1 '' +0x003 BitField : 0x8 '' +0x003ImageUsesLargePages : 0y0+0x003IsProtectedProcess : 0y0+0x003IsLegacyProcess : 0y0+0x003IsImageDynamicallyRelocated : 0y1+0x003SkipPatchingUser32Forwarders : 0y0
...
WinDbg常用命令系列---内存查看d*
d*命令显示给定范围内的内存内容。
d{a|b|c|d|D|f|p|q|u|w|W} [Options] [Range] dy{b|d} [Options] [Range] d [Options] [Range]
关于0xC06D007F未知软件异常
简介
0xC06D007F这个异常通常是在PE的延迟加载dll的时候发生的,加载器找不到对应的dll就会抛出这个异常。
说明
这个异常其实跟0xC06D007E异常差多,排查方法可以跟它一样。但0xC06D007F更偏向模块错误。
异常结构
ExceptionAddress: 7c812aeb (kernel32!RaiseException+0x00000053)
ExceptionCode: c06d007f
ExceptionFlags: 00000000
NumberParameters: 1
Parameter[0]: 0012f918
ExceptionAddress: 7c812fd3 (kernel32+0x00012fd3)
ExceptionCode: c06d007f
ExceptionFlags: 00000000
NumberParameters: 1
Parameter[0]: 0012f7b0
ExceptionCode: c06d007f
ExceptionFlags: 00000000
NumberParameters: 1
Parameter[0]: 0012f7b0