1、dd 命令:显示当前正在运行的进程的虚拟地址的内容,以 16 进制打印,默认打印 128 个字节,每行 16 个字节。
格式:dd address [l+显示字节]
dc 命令(比 dd 命令多加了地址对应的ASCII 码格式) :
2、 !Wsle [0~7]命令:
显示当前正在运行的进程所有工作集页面信息。
3 . x 命令 --查看函数在程序中的二进制入口地址
格式 : x modulename! functionName (注:函数名中可以用通配符 *)
如: x ntdll! ntcreat*
4 .bp address 设置断点
5. K 命令
查看程序的调用堆栈
