Windbg 字符串条件断点

0x01 前言

• Windbg 作为 Windows 下的主流调试器，除了人机交互相比其他调试器略有不足外，其他功能都是十分强大的存在。
• 在所有的调试器中断点功能都是必不可少的，Windbg 可以使用 bp 等命令很方便的对地址和符号下断点，这些都是非常常用的，但是对字符下断点，尤其是 unicode 字符下断点则用的比较少，但是用的好确实能解决许多问题，比如需要记录和断下一些关键 API 的参数字符等。

0x02 对关键 API 下字符比较断点

• 如何使字符比较断点断下，使用 Windbg 脚本是一种不错的选择（这里的脚本并非 Python 而是 Windbg 自带的能够被解析的脚本，语法简单），这里并不推荐使用命令行，因为在文件中编辑脚本便于检测错误。
• 首先来看一下选取的可执行文件的例子，这是一个常用的看图软件，使用 FreeImage 为核心技术，可以方便的读取图片文件，这里以随机从网上下载的 test.bmp 图片作为输入，查看是否调用了系统底层函数 Kernel32!CreateFileW，以及是否能通过参数及时的断下。
  
  
• 首先在 C 盘的根目录下新建 commands.txt 脚本文件以便让 Windbg 去读取执行。
  
  
• 之后编写以下脚本，/mu 是指定 Unicode 字符；${/v:EventName} poi(esp+4) 则是指定别名，poi(esp+4) 表示 Kernel32!CreateFileW 的第一个参数，这个需要看具体情况；$spat 函数作为比较函数，这里比较第一个参数是否含有 bmp 后缀，也就是刚刚传入的 test.bmp；ad * 表示每次执行一次清空一下别名，最后如果条件成立则打印并且断下。

as /mu ${/v:EventName} poi(esp+4)
.if ($spat(@"${EventName}", "*.bmp*") == 0)  {ad*; gc } .else {.echo; du poi(esp+4); ad*}

• 最后输入 bp KERNEL32!CreateFileW "$$<c:\\commands.txt" 让 Windbg 读取脚本文件。
  
  
• 运行之后查看执行结果发现成功断下，并且传入 CreateFileW 的第一个参数符合图片路径。
  
  

0x03 官网更为详细的记载以及扩展

• 参考：WinDbg 和其他 Windows 调试器中的条件断点