!dh:扩展显示指定映像的头部

-h 在调试器命令窗口中显示该扩展命令的帮助文本。

0:004> !dh -h
Usage: dh [options] addressDumps headers from an image based at addressOptions:-a      Dump everything-f      Dump file headers-s      Dump section headers

也就这三个属性,默认是使用-a

0:004> !dh ntdllFile Type: DLL
FILE HEADER VALUES14C machine (i386)5 number of sections
4EC49B60 time date stamp Thu Nov 17 13:28:00 20110 file pointer to symbol table0 number of symbolsE0 size of optional header2102 characteristicsExecutable32 bit word machineDLLOPTIONAL HEADER VALUES10B magic #9.00 linker versionD5000 size of code63200 size of initialized data0 size of uninitialized data0 address of entry point1000 base of code----- new -----
775a0000 image base1000 section alignment200 file alignment3 subsystem (Windows CUI)6.01 operating system version6.01 image version6.01 subsystem version13C000 size of image400 size of headers141016 checksum
00040000 size of stack reserve
00001000 size of stack commit
00100000 size of heap reserve
00001000 size of heap commit36190 [    F018] address [size] of Export Directory0 [       0] address [size] of Import DirectoryE0000 [   560D8] address [size] of Resource Directory0 [       0] address [size] of Exception Directory137000 [    3918] address [size] of Security Directory137000 [    4C50] address [size] of Base Relocation DirectoryD5D5C [      38] address [size] of Debug Directory0 [       0] address [size] of Description Directory0 [       0] address [size] of Special Directory0 [       0] address [size] of Thread Storage Directory1E0A8 [      40] address [size] of Load Configuration Directory0 [       0] address [size] of Bound Import Directory0 [       0] address [size] of Import Address Table Directory0 [       0] address [size] of Delay Import Directory0 [       0] address [size] of COR20 Header Directory0 [       0] address [size] of Reserved DirectorySECTION HEADER #1.text nameD4DBA virtual size1000 virtual addressD4E00 size of raw data400 file pointer to raw data0 file pointer to relocation table0 file pointer to line numbers0 number of relocations0 number of line numbers
60000020 flagsCode(no align specified)Execute ReadDebug Directories(2)Type       Size     Address  Pointercv           22       d5d98    d5198  Format: RSDS, guid, 2, ntdll.pdb(    10)       4       d5d94    d5194SECTION HEADER #2RT name1DC virtual sizeD6000 virtual address200 size of raw dataD5200 file pointer to raw data0 file pointer to relocation table0 file pointer to line numbers0 number of relocations0 number of line numbers
60000020 flagsCode(no align specified)Execute ReadSECTION HEADER #3.data name8064 virtual sizeD7000 virtual address6C00 size of raw dataD5400 file pointer to raw data0 file pointer to relocation table0 file pointer to line numbers0 number of relocations0 number of line numbers
C0000040 flagsInitialized Data(no align specified)Read WriteSECTION HEADER #4.rsrc name560D8 virtual sizeE0000 virtual address56200 size of raw dataDC000 file pointer to raw data0 file pointer to relocation table0 file pointer to line numbers0 number of relocations0 number of line numbers
40000040 flagsInitialized Data(no align specified)Read OnlySECTION HEADER #5.reloc name4C50 virtual size137000 virtual address4E00 size of raw data132200 file pointer to raw data0 file pointer to relocation table0 file pointer to line numbers0 number of relocations0 number of line numbers
42000040 flagsInitialized DataDiscardable(no align specified)Read Only

可以比对LoadPE工具,可以发现完全一样:

!lmi 扩展显示某个模块的详细信息

0:004> !lmi ntdll
Loaded Module Info: [ntdll] Module: ntdllBase Address: 775a0000Image Name: C:\Windows\SYSTEM32\ntdll.dllMachine Type: 332 (I386)Time Stamp: 4ec49b60 Thu Nov 17 13:28:00 2011Size: 13c000CheckSum: 141016
Characteristics: 2102
Debug Data Dirs: Type  Size     VA  PointerCODEVIEW    22, d5d98,   d5198 RSDS - GUID: {093D2CD7-F95B-4CC6-B531-8D405CC31566}Age: 2, Pdb: ntdll.pdbCLSID     4, d5d94,   d5194 [Data not mapped]Image Type: FILE     - Image read successfully from debugger.C:\Windows\SYSTEM32\ntdll.dllSymbol Type: EXPORT   - PDB not foundLoad Report: export symbols

转载于:https://www.cnblogs.com/hgy413/archive/2013/01/08/3693440.html

windbg学习22(!dh和!lmi)相关推荐

  1. Windbg学习 (0x0012) 命令-批处理命令程序

    Windbg学习 (0x0012) 命令-批处理命令 转载于:https://www.cnblogs.com/ywnwa417/p/5678344.html

  2. WinDbg学习笔记(二)--字符串访问断点

    标 题: [原创]WinDbg学习笔记(二)--字符串访问断点 作 者: gaorqing 时 间: 2009-07-25,21:39:04 链 接: http://bbs.pediy.com/sho ...

  3. WinDbg学习笔记(一)--认识WinDbg

    标 题: [原创]WinDbg学习笔记(一)--认识WinDbg 作 者: gaorqing 时 间: 2009-07-27,20:45:27 链 接: http://bbs.pediy.com/sh ...

  4. JQuery学习22篇(事件委托)

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...

  5. Python学习22:Python之禅和PEP 8规范

    笔者:风起怨江南 出处:https://blog.csdn.net/JackMengJin 笔者原创,文章转载需注明,如果喜欢请点赞+关注,感谢支持! 导读:Python之禅和PEP 8规范,值得所有 ...

  6. python爬虫学习22

    python爬虫学习22 这里写目录标题 python爬虫学习22 三.正则表达式 3.search方法 三.正则表达式 3.search方法 之前我们学习了正则表达式中的match方法,请大家回想一 ...

  7. Windbg学习使用

    WinDbg是微软发布的一款相当优秀的源码级(source-level)调试工具,可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件. 1. WinDbg介绍:     Debuggi ...

  8. windbg学习笔记

    写与2014年6月3日 Default Workspace 默认工作空间 implicit Workspace 隐含工作空间 Named Workspace 命名工作空间 explicit Works ...

  9. Windbg学习 (0x0002) 命令基础

    命令分为三种:基本命令,元命令,扩展命令,其中基本命令和元命令都是内建在Windbg中的,扩展命令通过加载扩展模块提供的 基本命令: 包括但不限于以下: 调试器控制:g(go) t(trace) p( ...

最新文章

  1. iis7.5支持html5,IIS7.5 由于 Web 服务器上的“ISAPI 和 CGI 限制”列表设置,无法提供您请求的页面...
  2. Objective-C基础笔记(3)OC的内存管理
  3. HBase数据迁移到Kafka实战
  4. python系统自学_如何系统地自学python
  5. ASP.NET学习笔记之操作过滤器
  6. 阿里RocketMQ Quick Start
  7. nginx php exec,PHP Web 端如何操作 Nginx 配置
  8. 经营管理类游戏_如何保持精英管理
  9. python判断一个数是不是完全平方数
  10. 数字逻辑复习总结(超全!内含例题!)
  11. python 圆周率_圆周率 python
  12. 我国街景地图向何处去
  13. java微信小程序接口openid过期_Java微信小程序登录接口获取openid
  14. 基于软路由连接上网的相关配置
  15. 免费打工仔:一个完善的ActiveX Web控件教程
  16. 主键的特点和三种创建方式
  17. Android:Umeng(友盟)消息推送(二)
  18. 文科生如何就量子物理和相对论谈笑风生? 我读过的10本有料有趣科普书
  19. 深度学习——人工神经网络中为什么ReLu要好过于tanh和sigmoid function?
  20. 关于《石油化工可燃气体和有毒气体检测报警设计规范》GB50493-2009 的笔记

热门文章

  1. 如果你产品的卖点跟竞争对手一样,那你怎么脱颖而出?
  2. 社区团购战国七雄出场了
  3. 在windows实现和smtp交互发送邮件
  4. docker RUN、CMD 和 ENTRYPOINT
  5. 【吴恩达课后编程作业pytorch实现】Keras入门与残差网络的搭建【1】
  6. linux box 信息发布,使用Instantbox快速搭建一个开箱即用的Web端临时Linux系统
  7. mysql创建复杂表_数据库_MySQL_复杂的表结构创建
  8. mysql 查询缓存设置_MySQL查询缓存设置 提高MySQL查询性能
  9. 获取SQL Server数据库增长和收缩事件的详细信息
  10. centos7 安装sql_在Linux Distribution CentOS 7上安装SQL Server vNext CTP