Мне нужно сравнить строку, переданную в качестве аргумента в WinDbg, со строкой из памяти. Как этого добиться?
Например, строка расположена по определенному смещению внутри загруженного PE. Итак, я могу легко прочитать строку, выполнив da /c 100 <addr>. Но как я могу использовать эту строку, чтобы сравнить ее с arg1 в скрипте WinDbg, используя .if? (и $SPAT(), наверное)
Я пытался прочитать вывод команды da в Псевдоним или Определяемый пользователем регистр, но безуспешно.
-c, который можно использовать для выполнения команд. Смотрите мой ответ ниже. Не произвольная командная строка, а что-то под вашим контролем. 26.09.2017 Вы можете назначить строку псевдониму, используя as /c:
0:012> as /c Hello .printf "%ma", 06130000
0:012> .echo @"${Hello}"
Hello world
Затем вы можете использовать $spat() на нем:
0:012> ? $spat(@"${Hello}","*ell*")
Evaluate expression: 1 = 00000000`00000001
0:012> ? $spat(@"${Hello}","x*")
Evaluate expression: 0 = 00000000`00000000
Чтобы управлять шаблоном из командной строки, установите другой псевдоним с помощью переключателя командной строки -c:
windbg -c "as Pattern *ell*"
// this line is from the command line argument
0:006> as Pattern *ell*
0:006> .dvalloc 1000
Allocated 1000 bytes starting at 04610000
0:006> ea 04610000 "Hello world"
0:006> as /c Hello .printf "%ma", 04610000
0:006> .echo ${Pattern}
*ell*
0:006> .echo ${Hello}
Hello world
0:006> ? $spat(@"${Hello}", @"${Pattern}")
Evaluate expression: 1 = 00000001
такой javascript тоже можно использовать
function log(instr) {
host.diagnostics.debugLog(instr + "\n");
}
function initializeScript(){
return [new host.namedModelParent(foo, "Debugger.Models.Process")];
}
class foo {
Init(comparand) {
var peb = host.currentProcess.Environment.EnvironmentBlock;
var cmdlinebuff = peb.ProcessParameters.CommandLine.Buffer;
var cmdline = host.memory.readWideString(cmdlinebuff);
var progname = cmdline.slice(0, cmdline.indexOf(" "));
var argname1 = cmdline.slice(cmdline.indexOf(" ")+1);
log (progname);
log (argname1);
if(comparand==argname1) {
log ( "argument matches with comparand");
}else{
log("argument does not match with comparand ");
}
}
}
и запустить его так
C:\>cdb -c ".load jsprovider;.scriptload c:\cmdln.js" calc my_1337_cmdline
0:000> cdb: Reading initial command '.load jsprovider;.scriptload c:\cmdln.js'
JavaScript script successfully loaded from 'c:\cmdln.js'
0:000> dx @$curprocess.Init("my_1337")
calc
my_1337_cmdline
argument does not match with comparand
@$curprocess.Init("my_1337")
0:000> dx @$curprocess.Init("my_1337_cmdline")
calc
my_1337_cmdline
argument matches with comparand
@$curprocess.Init("my_1337_cmdline")
0:000>
вместо буквальной строки, если вам нужно передать адрес, вы тоже можете это сделать
function log(instr) {
host.diagnostics.debugLog(instr + "\n");
}
function initializeScript(){
return[new host.namedModelParent(foo, "Debugger.Models.Process")];
}
class foo {
cmpCmdln(addrtostr) {
var peb = host.currentProcess.Environment.EnvironmentBlock;
var clnbuf = peb.ProcessParameters.CommandLine.Buffer;
var cmdln = host.memory.readWideString(clnbuf);
var arg1 = cmdln.slice(cmdln.indexOf(" ")+1);
var teststr = host.memory.readString(addrtostr);
if(teststr.slice(0,arg1.length)===arg1) {
log("Deal With Success : " + teststr);
}else{
log("Deal with failure : " + teststr);
}
}
}
загрузите jsprovider , загрузите скрипт и запустите как
0:000> du @@c++((@$peb->ProcessParameters->CommandLine.Buffer))
001d20a4 "calc !This"
0:000> dx @$curprocess.cmpCmdln(0x52004d)
Deal With Success : !This program cannot be run in DOS mode.
$
@$curprocess.cmpCmdln(0x52004d)
0:000> dx @$curprocess.cmpCmdln(0x52005d)
Deal with failure : nnot be run in DOS mode.
$
@$curprocess.cmpCmdln(0x52005d)
as /c Name .printf "%m(s)u/a", Address, а не простоas /m(s)u/a Name Address? 27.09.2017