Windbg设置条件断点

条件断点（condition breakpoint）的是指在上面3种基本断点停下来后，执行一些自定义的判断。

在基本断点命令后加上自定义调试命令，可以让调试器在断点触发停下来后，执行调试器命令。每个命令之间用分号分割。

语法格式如:

0:000> bp Address "j (Condition) 'OptionalCommands'; 'gc' "

0:000> bp Address ".if (Condition) {OptionalCommands} .else {gc}"

这两条是等价的.

当然

.if

{

}

.else

{

}

更好理解.

0:000> bp `mysource.cpp:143` "j (poi(MyVar)>0n20) ''; 'gc' "
0:000> bp `mysource.cpp:143` ".if (poi(MyVar)>0n20) {} .else {gc}"

若MyVar大于20则不stop,

否则stop下来进行调试.

MyVar符号表示符号所在的内存地址，而不是符号的数值，相当于C语言中的 &操作符的作用。Windbg命令poi的作用是取这个地址上的值，相当于C语言中的*操作符.因此这里取得MyVar的值.

伪寄存器,帮助保存调试的中间信息

考虑这样的情况，如果要记录某一个函数被执行了多少次，应该怎么做？简单的做法就是修改代码，在对应的函数入口做记录。可是，如果要记录的函数是系统API呢？

设置寄存器条件断点

当eax内的值为0xa3时断点Sop. 没问题,Hah.

0:000> bp mydriver!myFunction "j @eax = 0xa3 '';'gc'"
0:000> bp mydriver!myFunction ".if @eax = 0xa3 {} .else {gc}"

但以下就不一定了,当eax中人值为0xc0004321时,

不一定会断下来.

为什么呢?

原因是内核态时,MASM会对EAX中的值进行符号扩展.

那么0xc0004321 会变成0xFFFFFFFFc0004321

这样当然断不下来啦。

0:000> bp mydriver!myFunction "j @eax = 0xc0004321 '';'gc'"
0:000> bp mydriver!myFunction ".if @eax = 0xc0004321 {} .else {gc}"

如何处理呢?看看下面就知道了.

0:000> bp mydriver!myFunction "j (@eax & 0x0`ffffffff) = 0x0`c0004321 '';'gc'"
0:000> bp mydriver!myFunction ".if (@eax & 0x0`ffffffff) = 0x0`c0004321 {} .else {gc}"

爽吧,高位清0!

下面的命令可以统计VirtualAllocEx被执行了多少次：

bp /1 /c @$csp @$ra;g

bp kernel32!VirtualAllocEx "r $t0=@$t0+1;.printf /"function executes: %d times /",@$t0;.echo;g"

这里用到的$t0就是Windbg提供的伪寄存器。可以用来存储中间信息。这里用它来存储函数执行的次数。r命令可以用来查看，修改寄存器（CPU寄存器和Windbg的伪寄存器都有效）的值。随便挑一个繁忙的进程，用这个命令设定断点后观察：

0:009> bp kernel32!VirtualAllocEx "r $t0=@$t0+1;.printf
/"function executes: %d times /",@$t0;.echo;g"
0:009> g
function executes: 1 times
function executes: 2 times
function executes: 3 times
function executes: 4 times
…

哈哈,这确实是一个好方法.

Windbg设置条件断点相关推荐

Pycharm设置条件断点
参考 Pycharm设置条件断点 - 云+社区 - 腾讯云我们通常在调试程序的时候会遇到大块的循环,如果都运行很浪费时间,使得调试很麻烦,这时候可以使用条件断点技巧,下面用一个例子来说明条件断点 ...
gdb 笔记（03）— 某一行设置断点、为函数（单个唯一函数、多个同名函数、使用正则）设置断点、设置条件断点、设置临时断点
断点 breakpoint,即为了调试的需要,在程序中设置一些特殊标志,代码执行到这些具有特殊标志的位置时会暂停.一旦程序暂停,我们就可以查看或者修改程序运行的一些信息,比如内存信息.堆栈信息等,并且 ...
WinDBG中设置条件断点
条件断点:断点指令 + "j(Excecute If-Else) 和 gc (Go from Conditional Breakpoint)" 形如:bp Address &quo ...
图解 windbg设置符号文件路径和使用入门
下载下来的windbg如下,有三个版本,x86,x64,汉化: 进入如下网址,选择合适版本的符号文件: 查看本机系统版本:选择Win7 Service Pack 1的版本下载: 下载后的符号文件安装包 ...
将windbg设置为默认调试器命令
前提条件:安装好windbg软件(默认安装位置) 以截取组态王运行系统崩溃为例: 64位系统 0.文件更新替换将Touchvew.exe以及Touchvew.pdb覆盖替换C:\Program Fi ...
Eclipse设置条件断点
如图
[转]两个经典的windbg调试案例，值得学习。
1. 调试Bug的神兵利器:通过WinDbg条件断点收集Log 原文地址:http://blogs.msdn.com/yizhang/archive/2009/03/30/bug-windbg-log ...
windbg+VM 设置内核调试环境（双机调试）
虚拟机是XP情况: 启动项添加调试启动,并设置波特率为115200 具体操作可在boot.ini中添加如下代码: multi(0)disk(0)rdisk(0)partition(1)\WINDOWS ...
windbg 脚本学习总结
windbg 脚本简单入门 http://blog.csdn.net/superliuxing/article/details/19206985 Windbg的功能自然不必说,集内核调试,应用程序调试 ...

Windbg设置条件断点

Windbg设置条件断点相关推荐

最新文章

热门文章