2013年9月6日 星期五

Pop Quiz of Dump Sharing (2) – 常用指令

 

上課Vedio (待補)

1)  要看process example.exe 所有symbol的指令

x emample!*

2)  看load module 和unloaded module的指令

lm

3) 如果module 已經被unload了, 可以用那一個指令來Reload symbol

.reload /unl

4) 上次提到context 有五種, 試舉出三種

session context, process context , user mode address context, register context, local  context

5) session 0在 xp和在vista 代表的有什麼不同

session 0 在xp中是service 和console session, 在vista之後是service session

6) 在kd下, 切process context的指令, 請reload symbol, 並切需要的page table

.process /r /p /P <eprocess>

7)如果process example.exe 的所有thread hang住了, 可以用什麼指令觀察, 要看什麼欄位

!process <eprocess> 7

看thread 的Ticks

8)user mode debugging下, 看所有thread的stack要用什麼指令

~*k

9)Diassembly process example.exe 裡的winmain function要怎麼下

uf example!winmain

10)印出 example.exe 的g_var1 這個變數 成長度為1的dword

dd example!g_var1 L1

11)印出windows 內部的data structure _eprocess長相

dt _eprocess

12)列出所有CS的指令

!cs

13) 看CS 的dead lock的, 要找那一個function來找cs的pointer, 指令要怎麼下

RtlEnterCriticalSection

!cs <addr>

沒有留言: