Q：我能把功能模块化然后在其他SCRIPT文件中使用吗？

A：我已经测试过$$》《指令也能在SCRIPT里面使用

Q：我写的SCRIPT FILE能在64位系统中用吗？

A：如果你仅使用SCRIPT来实现功能，那么很可能与64位兼容。尽量使用伪寄存器。

$ip，$retreg，$csp在32位系统中分别表示EIP，EAX，ESP，而在64位系统中则表示RIP，RAX，RSP也分别对应Itanuim处理器中的相关寄存器。

通过函数名获取不同版本下的地址，可以通过下面代码：

bp messageboxw ; $$第一个断点，断点ID为0

bp getcommandlinew; $$第二个断点，断点ID为1

r $t10 = $bp0; $$将第一个断点的地址转存$t10

r $t11 = $bp1; $$将第二个断点的地址转存$t11

bc *; $$清除所有断点。

这段代码运行之后MESSAGEBOXW的地址便存于$t10中，而$t11里面的则是getcommandlinew的地址。这里要说明，断点用完要释放，否则不好估计断点的ID，此外在内核模式中，最多只允许32个断点。

$peb和$teb返回当前进程的PEB和TEB地址，这里的翻译区有介绍如何仅通过PEB或者TEB判断当前操作系统类型

为不同系统准备不同代码

总算写完了。。。。再废话几句

WINDBG看起来很难用，是因为用的人不多。

即使没有插件功能，WINDBG SCRIPT的功能也已经很强大了。

如果大家都来做SCRIPT，调试分析难度会降低很多，新手也可以通过阅读SCRIPT FILE来学习。搜索引擎使用得好的确可以学到很多，可惜这跟作者的表达和使用引擎者的表达有关，很可能相同的内容，因为表达方式不同就查不到了。就象我学校的图书馆，在电脑搜索逆向工程是什么都找不到的，但是搜索加密解密，却看到好几本书。

OD虽然好，始终是RING3的，SOFTICE似乎也已经停止开发了。希望大家都能加入WINDBG的行列

WinDbg入门教程-调试器的基础知识

1、WinDbg 入门教程

介绍

在我的职业生涯中，我看到我们大多数都是使用Visual Studio来进行调试，而不是用其它许多免费的调试器。你可能有许多理由来使用这样的调试器，比如，在你家里的机器上没装开发环境，但是一个程序一次次的崩溃。其实根据堆栈的dump就可以判断出IE的崩溃是否是由于一个第三方的插件。

对于WinDbg，我目前为止还没有发现很好的快速入门的教程。这篇文章结合实例讨论了WinDbg的使用。我首先假设你熟悉调试的基本概念：stepping in， stepping out，断点以及远程调试的基本概念。

注意，这本来是座位一个入门的文档，你可以阅读并且开始使用WinDbg. 如果对于特定的命令有疑问，请查阅WinDbg的文档。你可以在任何微软提供的调试器中使用这篇文章中提到的命令，比如在VS的命令行窗口中。

这篇文章是基于WinDbg 6.3.

这仅仅是一系列关于调试技术的文章中的第一篇。在下一篇文章中，我会解释如何针对调试器编写扩展DLL.

调试器一览

下面大概介绍了你可以从微软网站上下载到的调试器：

· KD-内核调试器。你可以用它来调试蓝屏一类的系统问题。如果是开发设备驱动程序是少不了它的。

· CDB-命令行调试器。这是一个命令行程序

· NTSD-NT调试器。这是一个用户模式调试器，可以用来调试用户模式应用程序。它实际上是一个CDB的windows UI增强。

· WinDbg-用一个漂亮的UI包装了KD和NTSD。WinDbg即可以调试内核模式，也可以调试用户模式程序。

· VS， VS.net-使用同KD和NTSD相同的调试引擎，并且相比于同样用于调试目的的WinDbg，提供了功能更丰富的界面。

调试器之间的比较

功能

KD

NTSD

WinDbg

Visual Studio .NET

内核模式调试