调试器命令程序示例

本主题的下面一小节描述了调试器命令程序的示例

使用 .foreach 标记

下面的例子是用.foreach标记搜索word值然后将他们以DWORD和字符的方式显示出来。

0:000> .foreach (place { s-[1]w 77000000 L?4000000 5a4d }) { dc place L8 } 

s (Search Memory)命令和-[1]选项一起使得输出只包含它找到的地址，而不是在这些地址上找到的值。

下面的命令显示所有位于0x77000000 到0x7F000000地址范围内的模块的详细信息。

0:000> .foreach (place { lm1m }) { .if ((${place} >= 0x77000000) & (${place} <= 0x7f000000)) { lmva place } } 

lm (List Loaded Modules)和1m选项 使得它的输出只包含模块地址，而不是模块的完整描述。

上面的例子使用${ }  (Alias Interpreter)标记来确保别名即使和其他文本连接在一起也能被正确替换。如果不这样，和place 连在一起的圆括号可能使得别名无法被替换掉。注意${}对于.foreach 和真实的别名使用的变量都起效。

遍历进程列表

下面的示例遍历内核模式的进程列表并显示列表中所有入口的可执行文件名。

该示例应该保存在文本文件中并用$$>< (Run Script File)命令执行。该命令加载整个文件，用分号替换所有回车然后再执行。该命令使得可以通过使用多行和缩进来编写更具可读性的程序，而不是将所有程序挤压到单独一行中。

该示例使用了下面一些特性：

• 程序中使用$t0、$t1和$t2 伪寄存器作为变量。还使用了别名Procc 和$ImageName。
• 该程序使用MASM表达式语法。但是@@c++( )标记也出现了一次。 这个标记使得圆括号中的表达式使用C++ 语法。这里用来在程序中直接使用C++结构。
• r (Registers) 和 ? 标志一起使用。该标志为伪寄存器$t2指派有类型的值。

$$  Get process list LIST_ENTRY in $t0.
r $t0 = nt!PsActiveProcessHead

$$  Iterate over all processes in list.
.for (r $t1 = poi(@$t0);
      (@$t1 != 0) & (@$t1 != @$t0);
      r $t1 = poi(@$t1))
{
    r? $t2 = #CONTAINING_RECORD(@$t1, nt!_EPROCESS, ActiveProcessLinks);
    as /x Procc @$t2

    $$  Get image name into $ImageName.
    as /ma $ImageName @@c++(&@$t2->ImageFileName[0])

    .block
    {
        .echo ${$ImageName} at ${$Procc}
    }

    ad $ImageName
    ad Procc
}

遍历LDR_DATA_TABLE_ENTRY 链表

下面的例子遍历用户模式的LDR_DATA_TABLE_ENTRY 链表，并显示每个链表入口中的基地址和完整路径。

和上面的示例一样，需要将程序保存到文本文件中，并用$$>< (Run Script File)命令执行。

该示例使用了下面一些特性：

• 该程序使用MASM表达式语法。但是在两个地方使用了@@c++( ) 标记。这个标记使得圆括号中的表达式使用C++ 语法。这里用来在程序中直接使用C++结构。
•  r (Registers)和 ? 标志一起使用。该标志为伪寄存器$t0 和$t1指派有类型的值。循环体中，$t1具有ntdll!_LDR_DATA_TABLE_ENTRY*类型，所以程序可以直接引用它的成员。
• 使用了自定义别名$Base 和$Mod。双美元符号避免了这些别名在当前调试器会话之前被使用过的可能性。美元符号不是必须的。${/v: } 标记会逐字解释别名，避免如果脚本运行之前定义过同名的别名使得它被替换的情况。 也可以将该标记和语句块一起使用，避免在语句块之前定义的别名的影响。
•  .block 标记用于增加一个额外的别名替换步骤。别名在整个脚本被加载时会进行一次替换，在进入每个语句块的时候还会进行一次替换。如果没有.block 标记和它的大括号，.echo 命令无法接收到上一行中赋给$Mod 和$Base 别名的值。

$$ Get module list LIST_ENTRY in $t0.
r? $t0 = &@$peb->Ldr->InLoadOrderModuleList
 
$$ Iterate over all modules in list.
.for (r? $t1 = *(ntdll!_LDR_DATA_TABLE_ENTRY**)@$t0;
      (@$t1 != 0) & (@$t1 != @$t0);
      r? $t1 = (ntdll!_LDR_DATA_TABLE_ENTRY*)@$t1->InLoadOrderLinks.Flink)
{
    $$ Get base address in $Base.
    as /x ${/v:$Base} @@c++(@$t1->DllBase)
    
    $$ Get full name into $Mod.
    as /msu ${/v:$Mod} @@c++(&@$t1->FullDllName)
 
    .block
    {
        .echo ${$Mod} at ${$Base}
    }
 
    ad ${/v:$Base}
    ad ${/v:$Mod}
}