مهندسی معکوس (مقدماتی بر دیباگر WinDbg Preview قسمت دوم ،سطح کاربر):

دستورات رایج در WinDbg Preview :

کامند db: در WinDbg Preview برای نمایش حافظه (Memory Dump) استفاده می‌شود.

کامند .tlist :

• تمام پروسس‌های فعال سیستم را لیست می‌کند

• PID (شناسه پروسس) را نشان می‌دهد

• نام فایل اجرایی هر پروسس را نمایش می‌دهد

• گاهی مسیر کامل اجرای برنامه هم نمایش داده می‌شود

کامند !peb :

دستور !peb در WinDbg / WinDbg Preview برای نمایش ساختار PEB (Process Environment Block) استفاده می‌شود.

این دستور یکی از مهم‌ترین ابزارها در مهندسی معکوس، تحلیل بدافزار و دیباگ یوزر مود است.

کامند dt:

دستور dt در WinDbg / WinDbg Preview یکی از مهم‌ترین دستورات برای نمایش ساختارها (Structures) و نوع داده‌ها (Types) است.

این دستور برای مهندسی معکوس، تحلیل حافظه، کرش‌دامپ و دیباگ فوق‌العاده کاربردی است.

این دستور یک ساختار (مثل PEB، TEB، EPROCESS، لیست‌ها، کلاس‌ها و …) را به‌صورت کامل همراه با فیلدها، اندازه‌ها، offsetها و مقادیر حافظه نمایش می‌دهد.

Telegram: @CaKeegan
Gmail : amidgm2020@gmail.com