win7 debug命令

命令用于调试汇编语言程序，能使用户接触到计算机内部，允许用户直接观察和修改CPU的寄存器；能观察、修改内存单元；允许直接输入机器指令并单步执行；能反汇编程序。概述讲，是观察和了解计算机内部运行情况的有利助手。

选择运行选项--在弹出的运行框里输入“”确定后弹出调试窗口。

弹出调试窗口中，输入下列相关命令进行操作

1输入命令

在win7的命令行中输入，就进入到虚拟8086的执行环境了。也可以输入+程序名字，这就是对某个程序进行调试。

2r（）命令

从名字可以看出是对寄存器操作的命令，此指令有两个功能：一是显示所以寄存器和标记的内容，二是修改寄存器的内容。只输入r来显示寄存器的内容：

debug总共显示3行，最底下一行是debug正要执行的命令，即cs:ip指向的命令。第一行和第二行显示了各个寄存器的值，其中第二行的最后表示的是标志寄存器中的值，从左到右分别为：溢出标志：ov（溢出），nv（未溢出）；方向标志：dn（减），up（曾）；中断标志：ei（启用），di（禁用）；正负标志：ng（负），pl（正）；零标志：zr（为零），nz（不为0）；辅助进位标志：ac（进位），na（未进位）；奇偶校验标志：pe（偶校验），po（奇校验）；进位标志：cy（进位），nc（未进位）。

如果想修改某个寄存器的值，直接在r后面加上要修改寄存器的名字，如：rax，然后回车并输入修改的值再回车就可以了。

从上图可以看出ax的值确实改变了，不但可以改变ax的值，其它寄存器的值都可以改变，包括cs，ip的值，这是在汇编程序中所做不到的。

3d（dump）命令查看内存中的信息

如果想知道10000h内存中的信息，可以用”d段地址：段偏移地址“来查看：

使用”d段地址：段偏移地址“的格式，debug会列出从指定内存单元开始的128个内存单元的内容。如上图所示，在使用d1000:0后，debug列出了1000:0-1000:7f中的内容。

在使用”d段地址：段偏移地址“之后，接着使用d命令，可列出后续的内容，如下图所示：

也可以用指定d命令的查看范围，此时采用”d段起始地址：起始偏移地址结尾偏移地址“的格式。比如要查看1000:0-1000:9中的内容，可以用“d1000:09”实现，如下图所示：

4e（edit）命令改写内存中的内容

可以用“e起始地址数据数据数据...”的格式来修改从起始地址开始的内存中的内容。比如修改10000h开始的10个单元的内容，如下图：

也可以用e命令以提问的方式来逐个地修改从某一地址开始的内存单元中的内容，以从1000:10单元开始为例，步骤如下：

输入e1000:10，按enter键

debug显示起始地址1000:0010，和第一个单元的原始内容：00，然后光标停在“.”后面提示输入想要写入的数据，此时有两种选择：一是输入数据，然后按空格键，即输入数据修改当前的内存单元；二位不输入数据，直接按空格键，则不对当前内存单元进行改写。

当前单元处理完后（不论改写或者没有改写，只要按了空格键，就表示处理完成），debug将显示下一个内存单元的原始内容，并提示修改。

所以希望改写的内存单元改写完成后，按enter键，e命令操作结束。

如下图所示：

也可以用e命令向内存单元写入字符串，比如用e命令从内存1000:0开始写入：1、“a+b”、2、“c++”、‘3’、“win7 debug命令IBM”，如下图所示：

也可以向内存张写入机器码。

5用u（un-assembly）来反汇编机器码

我们首先用e命令从内存1000:0单元开始写入这样一段机器码：

机器码对应汇编指令

b80100movax,0001

b90200movcs,0002

01c8　addax,cx

然后用u命令反汇编出这段内存中的汇编命令，如下图所示：

6t（trace）单步调试命令

没输入一个t，debug就执行一条指令，然后停下了显示所有寄存器的内容。如下图所示：

7a（assembly）命令以汇编指令形式写指令到内存中

前面说过可以用e命令写入机器码，但这样很不方便，必须记住机器码才行，而a命令以汇编形式写入就方便多了，“a起始地址“表示将汇编指令写入某个地址中，如下图：

8n（name）命令

指定debugl（加载）或w（写入）命令的可执行文件的名称，或者指定正在调试的可执行文件的参数。

n[drive:][path]filename

要指定测试的可执行文件的参数，请使用以下语法：

nfile-parameters

9l（load）命令

l命令将n命令指定的可执行文件加载到内存的某个地址中。

要从磁盘文件加载BX:CX寄存器中指定的字节数内容，请使用以下语法：

l[address]

要略过Windows2000文件系统并直接加载特定的扇区，请使用以下语法：

laddressdrivestartnumber

不过我在win7中试了第一个语法，debug居然报错，不知道为什么，只有用不带参数的l命令才行。如下图所示：

也就是说加载文件只能加载到开始进入debug时cs：ip所指向的起始内存单元中去。但是在网上找了很多资料，都说可以直接加载到一个指定的地址中去，不知道为什么不行？