在调试过程中难免会遇到需要反编译代码来分析逻辑的时候,在windbg中,需要反编译代码就要用到u/ub/uf这三个命令。本文这里分别介绍这三个命令各自的用途。

以下是一个quick sort的实例代码,将其编译成可执行文件,然后通过windbg运行。

#include <stdio.h>

#include <string.h>

#define MAXLINES 5000

#define MAXLEN 1000

#define ALLOCSIZE 10000

static char allocbuf[ALLOCSIZE];

static char *allocp = allocbuf;

char *lineptr[MAXLINES];

int readlines(char *lineptr[], int nlines);

void writelines(char *lineptr[], int nlines);

void qsort(void *lineptr[], int left, int right, int(*comp)(void *, void *));

int numcmp(char *, char *);

main(int argc, int *argv[])

{

    int nlines;

    int numeric = ;

    if((argc > ) && strcmp(argv[], "-n")==)

        numeric = ;

    if((nlines = readlines(lineptr, MAXLINES)) >= ){

        qsort((void **) lineptr, , nlines-,

                (int (*)(void*, void*))(numeric ? numcmp : strcmp));

        writelines(lineptr, nlines);

        return ;

    } else {

        printf("input too big to sort\n");

        return ;

    }

}

void qsort(void *v[], int left, int right,

        int (*comp)(void *, void *))

{

    int i, last;

    void swap(void *v[], int, int);

    if(left >= right)

        return;

    swap(v, left, (left+right)/);

    last = left;

    for( i = left+; i <= right; i++)

        if((*comp)(v[i], v[left]) < )

            swap(v, ++last, i);

    swap(v, left, last);

    qsort(v, left, last-, comp);

    qsort(v, last+, right, comp);

}

char *alloc(int n)

{

    if(allocbuf + ALLOCSIZE - allocp >= n){

        allocp += n;

        return allocp - n;

    } else

        return ;

}

int getline(char s[], int lim)

{

    int c, i;

    i = ;

    while(--lim >  && (c=getchar()) != EOF && c != '\n')

        s[i++] = c;

    if(c == '\n')

        s[i++] = c;

    s[i] = '\0';

    return i;

}

int readlines(char *lineptr[], int maxlines)

{

    int len, nlines;

    char *p, line[MAXLEN];

    nlines = ;

    while((len = getline(line, MAXLEN)) > )

        if((nlines >= maxlines  || (p = alloc(len)) == NULL))

            return -;

        else{

            line[len-] = '\0';

            strcpy(p, line);

            lineptr[nlines++] = p;

        }

    return nlines;

}

void writelines(char *lineptr[], int nlines)

{

    int i;

    for(i = ; i < nlines; i++)

        printf("%s\n", lineptr[i]);

}

int numcmp(char *s1, char *s2)

{

    double v1, v2;

    v1 = atof(s1);

    v2 = atof(s2);

    if(v1 < v2)

        return -;

    else if(v1 > v2)

        return ;

    else

        return ;

}

void swap(void *v[], int i, int j)

{

    void *temp;

    temp = v[i];

    v[i] = v[j];

    v[j] = temp;

}

u命令

u命令的作用就是反编译指定地址参数之后的代码,如果不指定地址参数,即只输入u命令执行,那么默认就是反编译当前线程的当前指令

我们来做个实验,在运行起实例代码之后,在main函数上设断点,然后通过u命令来反编译eip(instruction pointer)中的地址指向的方法地址,即当前函数的执行地址,可以查看接下来当前线程要执行的汇编代码。

关于x86各个寄存器的含义可以参考x86 Architecture

0:000> x qsort!main
000c12e0 qsort!main (int, int **)
0:000> bp 000c12e0
0:000> g
Breakpoint 0 hit
eax=004e8228 ebx=00000000 ecx=00000001 edx=00000000 esi=00000000 edi=00000000
eip=000c12e0 esp=0027f7d4 ebp=0027f818 iopl=0 nv up ei pl zr na pe nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000246
qsort!main:
000c12e0 55 push ebp
0:000> u @eip
qsort!main [c:\qsort.c @ 19]:
000c12e0 55 push ebp
000c12e1 8bec mov ebp,esp
000c12e3 83ec0c sub esp,0Ch
000c12e6 c745f800000000 mov dword ptr [ebp-8],0
000c12ed 837d0801 cmp dword ptr [ebp+8],1
000c12f1 7e27 jle qsort!main+0x3a (000c131a)
000c12f3 6804b00e00 push offset qsort!allocp+0x4 (000eb004)
000c12f8 b804000000 mov eax,4

uf命令

uf命令是用来反编译整个函数的汇编代码,

比如我希望反编译整个main函数,可以通过uf函数。

0:000> uf @eip
qsort!main [c:\qsort.c @ 19]:
19 000c12e0 55 push ebp
19 000c12e1 8bec mov ebp,esp
19 000c12e3 83ec0c sub esp,0Ch
21 000c12e6 c745f800000000 mov dword ptr [ebp-8],0
23 000c12ed 837d0801 cmp dword ptr [ebp+8],1
23 000c12f1 7e27 jle qsort!main+0x3a (000c131a)

qsort!main+0x13 [c:\qsort.c @ 23]:
23 000c12f3 6804b00e00 push offset qsort!allocp+0x4 (000eb004)
23 000c12f8 b804000000 mov eax,4
23 000c12fd c1e000 shl eax,0
23 000c1300 8b4d0c mov ecx,dword ptr [ebp+0Ch]
23 000c1303 8b1401 mov edx,dword ptr [ecx+eax]
23 000c1306 52 push edx
23 000c1307 e854080000 call qsort!strcmp (000c1b60)
23 000c130c 83c408 add esp,8
23 000c130f 85c0 test eax,eax
23 000c1311 7507 jne qsort!main+0x3a (000c131a)

qsort!main+0x33 [c:\qsort.c @ 24]:
24 000c1313 c745f801000000 mov dword ptr [ebp-8],1

qsort!main+0x3a [c:\qsort.c @ 25]:
25 000c131a 6888130000 push 1388h
25 000c131f 68e0020f00 push offset qsort!lineptr (000f02e0)
25 000c1324 e8f5fcffff call qsort!ILT+25(_readlines) (000c101e)
25 000c1329 83c408 add esp,8
25 000c132c 8945fc mov dword ptr [ebp-4],eax
25 000c132f 837dfc00 cmp dword ptr [ebp-4],0
25 000c1333 7c47 jl qsort!main+0x9c (000c137c)

qsort!main+0x55 [c:\qsort.c @ 27]:
27 000c1335 837df800 cmp dword ptr [ebp-8],0
27 000c1339 7409 je qsort!main+0x64 (000c1344)

qsort!main+0x5b [c:\qsort.c @ 27]:
27 000c133b c745f414100c00 mov dword ptr [ebp-0Ch],offset qsort!ILT+15(_numcmp) (000c1014)
27 000c1342 eb07 jmp qsort!main+0x6b (000c134b)

qsort!main+0x64 [c:\qsort.c @ 27]:
27 000c1344 c745f4601b0c00 mov dword ptr [ebp-0Ch],offset qsort!strcmp (000c1b60)

qsort!main+0x6b [c:\qsort.c @ 27]:
27 000c134b 8b45f4 mov eax,dword ptr [ebp-0Ch]
27 000c134e 50 push eax
27 000c134f 8b4dfc mov ecx,dword ptr [ebp-4]
27 000c1352 83e901 sub ecx,1
27 000c1355 51 push ecx
27 000c1356 6a00 push 0
27 000c1358 68e0020f00 push offset qsort!lineptr (000f02e0)
27 000c135d e8adfcffff call qsort!ILT+10(_qsort) (000c100f)
27 000c1362 83c410 add esp,10h
28 000c1365 8b55fc mov edx,dword ptr [ebp-4]
28 000c1368 52 push edx
28 000c1369 68e0020f00 push offset qsort!lineptr (000f02e0)
28 000c136e e8bafcffff call qsort!ILT+40(_writelines) (000c102d)
28 000c1373 83c408 add esp,8
29 000c1376 33c0 xor eax,eax
29 000c1378 eb14 jmp qsort!main+0xae (000c138e)

qsort!main+0x9c [c:\qsort.c @ 31]:
31 000c137c 6808b00e00 push offset qsort!allocp+0x8 (000eb008)
31 000c1381 e80c060000 call qsort!printf (000c1992)
31 000c1386 83c404 add esp,4
32 000c1389 b801000000 mov eax,1

qsort!main+0xae [c:\qsort.c @ 34]:
34 000c138e 8be5 mov esp,ebp
34 000c1390 5d pop ebp
34 000c1391 c3 ret

另外uf还有一个比较常用的参数项/c,通过/c可以查看这个函数中的函数调用(call)都有哪些,当一个函数反编译代码过长的时候,我们可以通过这个参数来过滤所有的方法调用,方便查找。

0:000> uf /c @eip
qsort!main (000c12e0) [c:\qsort.c @ 19]
qsort!main+0x27 (000c1307) [c:\qsort.c @ 23]:
call to qsort!strcmp (000c1b60) [f:\dd\vctools\crt_bld\SELF_X86\crt\src\INTEL\strcmp.asm @ 65]
qsort!main+0x44 (000c1324) [c:\qsort.c @ 25]:
call to qsort!ILT+25(_readlines) (000c101e)
qsort!main+0x7d (000c135d) [c:\qsort.c @ 27]:
call to qsort!ILT+10(_qsort) (000c100f)
qsort!main+0x8e (000c136e) [c:\qsort.c @ 28]:
call to qsort!ILT+40(_writelines) (000c102d)
qsort!main+0xa1 (000c1381) [c:\qsort.c @ 31]:
call to qsort!printf (000c1992) [f:\dd\vctools\crt_bld\self_x86\crt\src\printf.c @ 49]

ub命令

ub命令与u的不同之处在于它是用来查看线程当前指令之前的汇编代码,b这里就是代表向后查看(backward)的意思。

在调用qsort!qsort方法之前设置断点,执行到这个断点的时候,如果希望看到前面执行的代码是什么样的,这时可以通过ub函数查看,通过对比就可以发现ub列出的汇编代码恰好是调用qsort!qsort方法之前的指令。

0:000> bp 000c135d
0:000> g
Breakpoint 1 hit
eax=000c1b60 ebx=00000000 ecx=00000002 edx=00000000 esi=00000000 edi=00000000
eip=000c135d esp=0027f7b4 ebp=0027f7d0 iopl=0 nv up ei pl nz na po nc
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202
qsort!main+0x7d:
000c135d e8adfcffff call qsort!ILT+10(_qsort) (000c100f)
0:000> ub 000c135d
qsort!main+0x64 [c:\qsort.c @ 27]:
000c1344 c745f4601b0c00 mov dword ptr [ebp-0Ch],offset qsort!strcmp (000c1b60)
000c134b 8b45f4 mov eax,dword ptr [ebp-0Ch]
000c134e 50 push eax
000c134f 8b4dfc mov ecx,dword ptr [ebp-4]
000c1352 83e901 sub ecx,1
000c1355 51 push ecx
000c1356 6a00 push 0
000c1358 68e0020f00 push offset qsort!lineptr (000f02e0)

希望以上内容对您有所帮助

Aaron Zhang

基础调试命令 - u/ub/uf的更多相关文章

  1. 基本调试命令 - u/ub/uf

    原:http://www.cnblogs.com/developersupport/p/windbgcommand-u.html 在调试过程中难免会遇到须要反编译代码来分析逻辑的时候.在windbg中 ...

  2. 基础调试命令 - .dump/.dumpcap/.writemem/!runaway

    Windbg是windows平台上强大的调试器,它相对于其他常见的IDE集成的调试器有几个重要的优势, Windbg可以做内核态调试 Windbg可以脱离源代码进行调试 Windbg可以用来分析dum ...

  3. 基础调试命令 - wt (watch and trace)

    本文介绍windbg动态调试过程中一个非常有用的命令,wt的用法. wt命令 wt命令之所以称为wt是因为它是watch and trace的简称,即用来观察和跟踪的命令.这个命令一般用在动态调试而不 ...

  4. gdb常用的调试命令

    首先将源代码编译.链接生成debug版本的可执行文件,然后通过‘gdb  debug版本的可执行文件名’进入调试模式. a) 单进程.单线程基础调试命令 l    显示main函数所在的文件的源代码 ...

  5. WinDBG 调试命令大全

    转载收藏于:http://www.cnblogs.com/kekec/archive/2012/12/02/2798020.html  #调试命令窗口 ++++++++++++++++++++++++ ...

  6. Windbg调试命令详解

    作者:张佩][原文:http://www.yiiyee.cn/Blog] 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe.ntsd. ...

  7. python基础——调试

    python基础——调试 程序能一次写完并正常运行的概率很小,基本不超过1%.总会有各种各样的bug需要修正.有的bug很简单,看看错误信息就知道,有的bug很复杂,我们需要知道出错时,哪些变量的值是 ...

  8. WinDbg调试命令汇总

    一. 1. !address eax 查看对应内存页的属性 2. vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block 4. lmvm 可以 ...

  9. Windbg调试命令详解(1)

    转载注明>> [作者:张佩][镜像:http://www.yiiyee.cn/Blog] 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是 ...

随机推荐

  1. 深入理解php底层:php生命周期 [转]

    1.PHP的运行模式: PHP两种运行模式是WEB模式.CLI模式.无论哪种模式,PHP工作原理都是一样的,作为一种SAPI运行. 1.当我们在终端敲入php这个命令的时候,它使用的是CLI. 它就像 ...

  2. 无法删除服务器 'old_server_name',因为该服务器用作复制过程中的发布服务器。 (Microsoft SQL Server,错误: 20582)

    无法删除服务器 'old_server_name',因为该服务器用作复制过程中的发布服务器. (Microsoft SQL Server,错误: 20582) 2013-01-05 15:02 478 ...

  3. 使用 KGDB 调试 Kernel On Red Hat Linux

    1. KGDB 简介         KGDB  提供了一种使用 GDB 调试 Linux 内核的机制.使用 KGDB 可以象调试普通的应用程序那样,在内核中进行设置断点.检查变量值.单步跟踪程序运行 ...

  4. Could not create the view: An unexpected exception was thrown 【转】

    转:http://blog.csdn.net/shuangzixing520/article/details/35225105 今天打开Myeclipse10的时候,发现server窗口出现一堆问题, ...

  5. SQLite in Windows Store Apps

    Using SQLite in Windows Store Apps : https://channel9.msdn.com/Shows/Visual-Studio-Toolbox/Using-SQL ...

  6. Socket通信基本原理

    Http通信: http连接使用的是“请求—响应方式”,即在请求时建立连接通道,当客户端向服务器发送请求后,服务器端才能向客户端返回数据. Socket通信: Socket通信则是在双方建立起连接后就 ...

  7. 【温故Delphi】Win32API之GetTempFileName

    所遇问题 新建的算量工程文件暂时保存到临时文件中,代码中调用了Win32 API——GetTempFileName 但在一台笔记本上,函数返回了一个空字符串! 为了查明原因想到了好用的GetLastE ...

  8. dhtmlx相关

    主页:http://dhtmlx.com/ 文档地址:http://docs.dhtmlx.com/ 后台:https://dhtmlx.com/docs/products/dhtmlxConnect ...

  9. 解决mac安装grunt时出现[command not found]的错误

    第一步: 1先确定一下.bash_profile是否存在. 2在mac终端输入: test -e .bash_profile && echo "found" || ...

  10. VM12安装OS X10.11步骤及说明

    参考文献: 1. http://www.crsay.com/network/enable-hardware-based-dep.html 2. http://jingyan.baidu.com/art ...