实验环境:XP(XP以上系统没有自带debug)
查询主板生产日期,发现时间为07/02/15
-e命令进行修改日期,尝试将07年改为08年
在查询一下修改完成后的日期,发现日期不变
原因:这块内存是主板的ROM,只能进行读取不能修改
Debug命令(输入的地址都为16进制):
-r 查询寄存器的内容 例:-r EAX (查询EAX寄存器的值)
-d 查询地址内容 例:-d 1000:0 f (查询100000~10000f的地址内容)
-e 修改地址内容 例:-e 1000:0 (查询从10000开始的地址内容)
-t 执行指令(CS+IP地址处的指令)
-u 查询地址出的汇编指令
-a 写入汇编代码 例:-a 后出入 mov ax,1
-g 1000 执行到cs:1000 处中断
-p 一次执行完循环或者int指令使使用
补充:
CS:代码段寄存器
IP:指令寄存器
DS:数据段寄存器
物理地址=段地址(CS)X16+偏移地址(IP)
区分一段地址存放的是数据还是代码的方法:
看段地址是属于代码段还是数据段