windbg zerlegen-Funktion Befehl (uf) müssen einige Formatierungen

Ich habe eine uf Befehl in windbg nach dem anbringen notepad.exe
Befehl war uf den Editor!WinMain bekam ich die folgende Ausgabe

0:000> uf notepad!WinMain
notepad!WinMain:
0021138d mov     edi,edi
0021138f push    ebp
00211390 mov     ebp,esp
00211392 sub     esp,1Ch
00211395 push    esi
00211396 push    edi
00211397 push    6
002113c8 test    eax,eax
002113ca jl      notepad!WinMain+0x118 (00211c93)

notepad!WinMain+0x43:
002113d0 push    ebx
002113d1 push    dword ptr [ebp+14h]
002113d4 push    edi
002113d5 call    notepad!SkipProgramName (00213170)
002113e5 je      notepad!WinMain+0x10e (00211ca9)

notepad!WinMain+0x5e:
002113eb push    esi
002113ec push    esi
002113ed call    dword ptr [notepad!_imp__GetCurrentProcessId (00211084)]

und so weiter.. Wenn Sie bemerken, nach jedem jump-Anweisung erstellt einen neuen block wie

002113ca jl      notepad!WinMain+0x118 (00211c93)

notepad!WinMain+0x43:

und

002113e5 je      notepad!WinMain+0x10e (00211ca9)

notepad!WinMain+0x5e:

So, was ich wissen wollte eine Einstellung in WinDbg, wo ich weglassen können, die Schaffung des neuen Blocks auf jedem Sprung für eine Funktion ZERLEGUNG. Warum kann ich nicht die Ausgabe die ich bekomme ist es mit U-Befehl?

So, ich bin auf der Suche nach einer Möglichkeit wie diese

002113c8 test    eax,eax002113ca 
jl      notepad!WinMain+0x118 (00211c93)
**blank line omitted**
**notepad!WinMain+0x43:** omitted**
002113d0 push    ebx002113d1 push    dword ptr [ebp+14h]

Hilfe?

InformationsquelleAutor Anirudh Goel | 2009-05-25

  1. 5

    weil die Funktion code ist potenziell zerstreuten alle über Ihrem code-Abschnitt (bis zu den linker zu entscheiden, wo man was und, im Allgemeinen, es endet beweglichen Teile, die ausgeführt werden, die meisten an der Spitze)

    nun, u kümmert sich nicht, wenn Sie daran interessiert sind, eine bestimmte Funktion - es wird einfach der dump-Anweisungen sequentiell, während uf an alle relevanten code-Blöcke und-Formate zusammen, um es so Aussehen eine ganze Funktion.

    edit: leider (soweit ich weiß) es gibt keine sofortigen Einstellung für windbg-maßgeschneidert für Ihre Bedürfnisse - hier werden Sie wahrscheinlich zu greifen, zu irgendeiner Art von post-processing - (pretty-print-script, um leere Zeilen entfernen und was Sie sonst noch brauchen).

    InformationsquelleAutor deemok

Schreibe einen Kommentar