DEBUG.docx

1、DEBUGDEBUG是DOS中的一个外部命令，从DOS 1.0起就带有此命令，因此可见此命令的重要性了。虽然此命令的功能非常强大，可以解决许多问题，可是对许多人来说，尤其是初学者来说，却非常不易掌握。因此，现将DEBUG的命令详细介绍一番，以让大家知道它的使用。以下命令是学习汇编语言必须掌握的命令： A（汇编）vas黑色海岸线网络安全资讯站直接将 8086/8087/8088 记忆码合并到内存。该命令从汇编语言语句创建可执行的机器码。所有数值都是十六进制格式，必须按一到四个字符输入这些数值。在引用的操作代码（操作码）前指定前缀记忆码。vas黑色海岸线网络安全资讯站a addressvas黑色海

2、岸线网络安全资讯站指定键入汇编语言指令的位置。对 address 使用十六进制值，并键入不以“h”字符结尾的每个值。如果不指定地址，a 将在它上次停止处开始汇编。使用伪指令使用 a 命令提供两个常用的伪指令：db 操作码，将字节值直接汇编到内存，dw 操作码，将字值直接汇编到内存。以下是两个伪指令的范例：db 1,2,3,4,THIS IS AN EXAMPLEvas黑色海岸线网络安全资讯站db THIS IS A QUOTATION MARK:vas黑色海岸线网络安全资讯站db THIS IS A QUOTATION MARK:vas黑色海岸线网络安全资讯站dw 1000,2000,3000

3、,BACHvas黑色海岸线网络安全资讯站a 命令支持所有形式的间接注册命令，如下例所示：add bx,34bp+2.si-1vas黑色海岸线网络安全资讯站pop bp+divas黑色海岸线网络安全资讯站push si )还支持所有操作码同义词，如下例所示：loopz 100vas黑色海岸线网络安全资讯站loope 100vas黑色海岸线网络安全资讯站ja 200vas黑色海岸线网络安全资讯站jnbe 200D（转储）vas黑色海岸线网络安全资讯站显示一定范围内存地址的内容。vas黑色海岸线网络安全资讯站d rangevas黑色海岸线网络安全资讯站指定要显示其内容的内存区域的起始和结束地址，或起

4、始地址和长度。如果不指定 range，Debug 程序将从以前 d 命令中所指定的地址范围的末尾开始显示 128 个字节的内容。说明vas黑色海岸线网络安全资讯站当使用 d 命令时，Debug 以两个部分显示内存内容：十六进制部分（每个字节的值都用十六进制格式表示）和 ASCII 码部分（每个字节的值都用 ASCII 码字符表示)。每个非打印字符在显示的 ASCII 部分由句号 (.) 表示。每个显示行显示 16 字节的内容，第 8 字节和第 9 字节之间有一个连字符。每个显示行从 16 字节的边界上开始。范例vas黑色海岸线网络安全资讯站假定键入以下命令：vas黑色海岸线网络安全资讯站d c

5、s:100 10fvas黑色海岸线网络安全资讯站Debug 按以下格式显示范围中的内容：vas黑色海岸线网络安全资讯站04BA:0100 54 4F 4D 00 53 41 57 59-45 52 00 00 00 00 00 00 TOM.SAWYER.vas黑色海岸线网络安全资讯站如果在没有参数的情况下键入 d 命令，Debug 按以前范例中所描述的内容来编排显示格式。显示的每行以比前一行的地址大 16 个字节（如果是显示 40 列的屏幕，则为 8 个字节）的地址开头。vas黑色海岸线网络安全资讯站对于后面键入的每个不带参数的 d 命令，Debug 将紧接在最后显示的命令后立即显示字节内容

6、。vas黑色海岸线网络安全资讯站如果键入以下命令，Debug 将从 CS:100 开始显示 20h 个字节的内容：vas黑色海岸线网络安全资讯站d cs:100 l 20vas黑色海岸线网络安全资讯站如果键入以下命令，Debug 将显示范围从 CS 段的 100h 到 115h 中所有字节的内容：vas黑色海岸线网络安全资讯站d cs:100 115E（键入）将数据输入到内存中指定的地址。vas黑色海岸线网络安全资讯站可以按十六进制或 ASCII 格式键入数据。以前存储在指定位置的任何数据全部丢失。e address list参数vas黑色海岸线网络安全资讯站addressvas黑色海岸线网络

7、安全资讯站指定输入数据的第一个内存位置。vas黑色海岸线网络安全资讯站listvas黑色海岸线网络安全资讯站指定要输入到内存的连续字节中的数据。vas黑色海岸线网络安全资讯站使用 address 参数如果在没有指定可选的 list 参数的值情况下指定 address 的值，Debug 将显示地址和内容，在下一行重复地址，并等待您的输入。此时，您可以执行下列操作之一：替换字节值。为此，请在当前值后键入新值。如果您键入的值不是有效的十六进制值，或该值包含两个以上的数字，则 Debug 不会回显无效或额外的字符。vas黑色海岸线网络安全资讯站进入下一个字节。为此，请按 SPACEBAR（空格键）。要

8、更改该字节中的值，请在当前值后键入新值。如果按 SPACEBAR（空格键）时，移动超过了 8 位界限，Debug 程序将显示新的一行并在行首显示新地址。vas黑色海岸线网络安全资讯站返回到前一个字节。为此，请按 HYPHEN 键 (-)。可以反复按 HYPHEN 键 (-) 向后移动超过多个字节。在按 HYPHEN 时，Debug 开始新行并显示当前地址和字节值。vas黑色海岸线网络安全资讯站停止执行 e 命令。为此，请按 ENTER 键。在任何字节位置都可以按 ENTER。vas黑色海岸线网络安全资讯站使用 list 参数如果指定 list 参数的值，随后的 e 命令将使用列表中的值替换现有

9、的字节值。如果发生错误，将不更改任何字节值。List 值可以是十六进制字节或字符串。使用空格、逗号或制表符来分隔值。必须将字符串包括在单或双引号中。范例假定键入以下命令：E cs:100Debug 按下面的格式显示第一个字节的内容：04BA:0100 EB.要将该值更改为 41，请在插入点键入 41，如下所示：04BA:0100 EB.41_可以用一个 e 命令键入连续的字节值。在键入新值后按 SPACEBAR（空格键），而不是按 ENTER 键。Debug 显示下一个值在此范例中，如果按三次 SPACEBAR（空格键），Debug 将显示下面的值：04BA:0100 EB.41 10. 00

10、. BC._要将十六进制值 BC 更改为 42，请在插入点键入 42，如下所示：04BA:0100 EB.41 10. 00. BC.42_假定决定值 10 应该是 6F。要纠正该值，请按 减号 键两次以返回到地址 0101（值 10）。Debug 显示以下内容：04BA:0100 EB.41 10. 00. BC.42-vas黑色海岸线网络安全资讯站04BA:0102 00.-vas黑色海岸线网络安全资讯站04BA:0101 10._在插入点键入 6f 更改值，如下所示：04BA:0101 10.6f_按 ENTER 停止 e 命令并返回到 Debug 提示符下。以下是字符串项的范例：E d

11、s:100 This is the text example该字符串将从 DS:100 开始填充 24 个字节F（填充）使用指定的值填充指定内存区域中的地址。可以指定十六进制或 ASCII 格式表示的数据。任何以前存储在指定位置的数据将会丢失。vas黑色海岸线网络安全资讯站f range listvas黑色海岸线网络安全资讯站参数range指定要填充内存区域的起始和结束地址，或起始地址和长度。参数list指定要输入的数据。List 可以由十六进制数或引号包括起来的字符串组成。vas黑色海岸线网络安全资讯站使用 range 参数：如果 range 包含的字节数比 list 中的数值大，Debug

12、 将在 list 中反复指派值，直到 range 中的所有字节全部填充。如果在 range 中的任何内存损坏或不存在，Debug 将显示错误消息并停止 f 命令。vas黑色海岸线网络安使用 list 参数：如果 list 包含的数值多于 range 中的字节数，Debug 将忽略 list 中额外的值。vas黑色海岸线网络安全资讯站范例假定键入以下命令：f04ba:100l100 42 45 52 54 41作为响应，Debug 使用指定的值填充从 04BA:100 到 04BA:1FF 的内存位置。Debug 重复这五个值直到 100h 个字节全部填满为止。vas黑色海岸线网络安全资讯站G（

13、转向）vas黑色海岸线网络安全资讯站运行当前在内存中的程序。vas黑色海岸线网络安全资讯站g =address breakpointsvas黑色海岸线网络安全资讯站参数=address指定当前在内存中要开始执行的程序地址。如果不指定 address，Windows 2000 将从 CS:IP 寄存器中的当前地址开始执行程序。breakpoints指定可以设置为 g 命令的部分的 1 到 10 个临时断点。vas黑色海岸线网络安全资讯站M（移动）将一个内存块中的内容复制到另一个内存块中。m range addressvas黑色海岸线网络安全资讯站参数range指定要复制内容的内存区域的起始和结束

14、地址，或起始地址和长度。address指定要将 range 内容复制到该位置的起始地址。说明复制操作对现有数据的影响如果新数据没有写入正在被复制的数据块中的地址，则源数据将保持不变。但是，如果目标块已经包含数据(就象它在覆盖副本操作中一样)，则将改写该数据。（覆盖复制操作是指那些目标数据块部分内容覆盖原数据块部分内容的操作。）vas黑色海岸线网络安全资讯站执行覆盖复制操作m 命令执行目标地址的覆盖复制操作，而不丢失数据。将改写的地址内容首先复制。因此，如果将较高位地址的数据复制到较低位地址，则复制操作从原块的最低位地址开始并向最高位地址进行。反之，如果要将数据从低地址复制到高地址，复制操作从原

15、块的最高地址开始，向最低地址进行。vas黑色海岸线网络安全资讯站范例假定键入以下命令：mcs:100 110 cs:500vas黑色海岸线网络安全资讯站Debug 首先将 CS:110 地址中的内容复制到地址 CS:510 中，然后将 CS:10F 地址中的内容复制到 CS:50F 中，如此操作直至将 CS:100 地址中的内容复制到地址 CS:500 中。要查看结果，请使用 Debug d（转储）命令，并使用 m 命令指定目标地址P（执行）执行循环、重复的字符串指令、软件中断或子例程；或通过任何其他指令跟踪。vas黑色海岸线网络安全资讯站p =address numbervas黑色海岸线网络

16、安全资讯站参数=address指定第一个要执行指令的位置。如果不指定地址，则默认地址是在 CS:IP 寄存器中指定的当前地址。number指定在将控制返回给 Debug 之前要执行的指令数。默认值为 1。说明vas黑色海岸线网络安全资讯站控制传送到要测试的程序当 p 命令将控制从 Debug 传送到要测试的程序时，该程序不间断运行，直到循环、重复字符串指令、软件中断或者完成了指定地址的子例程为止，或者直到执行了指定数量的机器指令为止。控制返回到 Debug。地址参数的限制如果 address 参数没有指定段，Debug 将使用被测试程序的 CS 寄存器。如果省略 address，程序将从 CS

17、:IP 寄存器所指定的地址开始执行。必须在 address 参数之前使用等号 (=) 以便将它与 number 参数区分。如果在指定地址处的指令不是循环、重复的字符串指令、软件中断或子例程，则 p 命令与 Debug t（跟踪）命令的作用相同。当 p 执行完一段程序后，Debug 显示出程序的寄存器内容、标志的状态以及下一段将要被执行的指令的解码形式。vas黑色海岸线网络安全资讯站警告：不能使用 p 命令跟踪只读内存 (ROM)。范例假定正在测试的程序在地址 CS:143F 处包含一个 call 指令。要运行 call 目标位置的子程序然后将控制返回到 Debug，请键入以下命令：p=143f

18、Debug 按以下格式显示结果：vas黑色海岸线网络安全资讯站AX=0000 BX=0000 CX=0000 DX=0000 SP=FFEE BP=0000 SI=0000 DI=0000vas黑色海岸线网络安全资讯站DS=2246 ES=2246 SS=2246 CS=2246 IP=1443 NV UP EI PL NZ AC PO NCvas黑色海岸线网络安全资讯站2246:1442 7505 JNZ 144AQ（退出）停止 Debug 会话，不保存当前测试的文件。当您键入 q 以后，控制返回到 Windows 2000 的命令提示符。vas黑色海岸线网络安全资讯站qvas黑色海岸线网络

19、安全资讯站该命令不带参数。vas黑色海岸线网络安全资讯站有关保存文件的信息，请单击“相关主题”列表中的 Debug W（写入）。R（寄存器）vas黑色海岸线网络安全资讯站显示或改变一个或多个 CPU 寄存器的内容。vas黑色海岸线网络安全资讯站r register-namevas黑色海岸线网络安全资讯站如果在没有参数的情况下使用，则 r 命令显示所有寄存器的内容以及寄存器存储区域中的标志。register-name指定要显示其内容的寄存器名。如果指定了寄存器名称，Windows 2000 将显示以十六进制标记表示的寄存器的 16 位值，并将冒号显示为提示符。如果要更改包含在寄存器中的值，除非键

20、入新值并按 ENTER 键；否则，请按 ENTER 键返回 Debug 提示符。有效寄存器名以下是 register-name 的有效值：ax、bx、cx、dx、sp、bp、si、di、ds、es、ss、cs、ip、pc 及 f。ip 和 pc 都引用指令指针。如果指定寄存器名称，而不是从前面的列表中指定，Windows 2000 将显示以下消息：br error使用 f 字符而不是寄存器名如果键入 f 字符代替寄存器名，Debug 将每个标记的当前设置显示为两字母代码，可以按任何顺序键入新的标志值。不需要在这些值之间留出空格。要停止 r 命令，请按 ENTER 键。任何没有指定新值的标志保持

21、不变。如果为标记指定了多个值，Debug 将显示以下消息：df error如果指定没有在前面的表中列出的标志代码，Debug 将显示以下消息：bf error在这两种情况下，Debug 将忽略所有在无效项目之后指定的设置。Debug 的默认设置在启动 Debug 时，会将段寄存器设置到空闲内存的低端，指令指针设置为 0100h，清除所有标志，并且将其余寄存器设置为零，除了被设置为 FFEEh 的 sp 之外。范例要查看所有寄存器的内容、所有标记的状态和当前位置的指令解码表，请键入以下命令：r如果当前位置是 CS:11A，显示外观将类似于以下内容：AX=0E00 BX=00FF CX=0007

22、DX=01FF SP=039D BP=0000 SI=005C DI=0000vas黑色海岸线网络安全资讯站DS=04BA ES=04BA SS=04BA CS=O4BA IP=011A NV UP DI NG NZ AC PE NCvas黑色海岸线网络安全资讯站04BA:011A CD21 INT 21要只查看标志的状态，请键入以下命令：rfDebug 按以下格式显示信息：NV UP DI NG NZ AC PE NC - _现在，您可以按任意顺序键入一个或多个有效的标志值，其中可以有或没有空格，如下所示：nv up di ng nz ac pe nc - pleicyDebug 结束 r

23、命令并显示 Debug 提示符。要查看更改，请键入 r 或 rf 命令。Debug 将显示以下内容：NV UP EI PL NZ AC PE CY - _vas黑色海岸线网络安全资讯站按 ENTER 返回到 Debug 提示符。U（反汇编）vas黑色海岸线网络安全资讯站反汇编字节并显示相应的原语句，其中包括地址和字节值。反汇编代码看起来象已汇编文件的列表。vas黑色海岸线网络安全资讯站u rangevas黑色海岸线网络安全资讯站如果在没有参数的情况下使用，则 u 命令分解 20h 字节（默认值），从前面 u 命令所显示地址后的第一个地址开始。range指定要反汇编代码的起始地址和结束地址，或起

24、始地址和长度。有关 range 参数有效值的信息，请单击“相关主题”列表中的 Debug。范例要反汇编 16 (10h) 字节，从地址 04BA:0100 开始，请键入以下命令：u04ba:100l10Debug 按以下格式显示结果：04BA:0100 206472 AND SI+72,AHvas黑色海岸线网络安全资讯站04BA:0103 69 DB 69vas黑色海岸线网络安全资讯站04BA:0104 7665 JBE 016Bvas黑色海岸线网络安全资讯站04BA:0106 207370 AND BP+DI+70,DHvas黑色海岸线网络安全资讯站04BA:0109 65 DB 65vas

25、黑色海岸线网络安全资讯站04BA:010A 63 DB 63vas黑色海岸线网络安全资讯站04BA:010B 69 DB 69vas黑色海岸线网络安全资讯站04BA:010C 66 DB 66vas黑色海岸线网络安全资讯站04BA:010D 69 DB 69vas黑色海岸线网络安全资讯站04BA:010E 63 DB 63vas黑色海岸线网络安全资讯站04BA:010F 61 DB 61如果只显示从 04BA:0100 到 04BA:0108 特定地址的信息，请键入以下命令：u04ba:0100 0108Debug 显示以下内容：04BA:0100 206472 AND SI+72,AHvas

26、黑色海岸线网络安全资讯站04BA:0103 69 DB 69vas黑色海岸线网络安全资讯站04BA:0104 7665 JBE 016Bvas黑色海岸线网络安全资讯站04BA:0106 207370 AND BP+DI+70,DH以下命令在学习汇编语言是并不常用，在此不做要求C（比较）vas黑色海岸线网络安全资讯站比较内存的两个部分。vas黑色海岸线网络安全资讯站c range addressvas黑色海岸线网络安全资讯站指定要比较的内存第一个区域的起始和结束地址，或起始地址和长度。有关有效的 range 值的信息，请单击“相关主题”列表中的“Debug 说明”。address指定要比较的第二

27、个内存区域的起始地址。有关有效 address 值的信息，请单击“相关主题”列表中的“Debug 说明”。vas黑色海岸线网络安全资讯站说明如果 range 和 address 内存区域相同，Debug 将不显示任何内容而直接返回到 Debug 提示符。如果有差异，Debug 将按如下格式显示：vas黑色海岸线网络安全资讯站address1 byte1 byte2 addess2范例以下命令具有相同效果：c100,10f 300vas黑色海岸线网络安全资讯站c100l10 300每个命令都对 100h 到 10Fh 的内存数据块与 300h 到 30Fh 的内存数据块进行比较。Debug 响应

28、前面的命令并显示如下信息（假定 DS = 197F）：197F:0100 4D E4 197F:0300vas黑色海岸线网络安全资讯站197F:0101 67 99 197F:0301vas黑色海岸线网络安全资讯站197F:0102 A3 27 197F:0302vas黑色海岸线网络安全资讯站197F:0103 35 F3 197F:0303vas黑色海岸线网络安全资讯站197F:0104 97 BD 197F:0304vas黑色海岸线网络安全资讯站197F:0105 04 35 197F:0305vas黑色海岸线网络安全资讯站197F:0107 76 71 197F:0307vas黑色海岸线

29、网络安全资讯站197F:0108 E6 11 197F:0308vas黑色海岸线网络安全资讯站197F:0109 19 2C 197F:0309vas黑色海岸线网络安全资讯站197F:010A 80 0A 197F:030Avas黑色海岸线网络安全资讯站197F:010B 36 7F 197F:030Bvas黑色海岸线网络安全资讯站197F:010C BE 22 197F:030Cvas黑色海岸线网络安全资讯站197F:010D 83 93 197F:030Dvas黑色海岸线网络安全资讯站197F:010E 49 77 197F:030Evas黑色海岸线网络安全资讯站197F:010F 4F

30、8A 197F:030F注意列表中缺少地址 197F:0106 和 197F:0306。这表明那些地址中的值是相同的。vas黑色海岸线网络安全资讯站H（十六进制）对指定的两个参数执行十六进制运算。vas黑色海岸线网络安全资讯站h value1 value2vas黑色海岸线网络安全资讯站参数value1代表从 0 到 FFFFh 范围内的任何十六进制数字。value2代表从 0 到 FFFFh 范围内第二个十六进制数字。vas黑色海岸线网络安全资讯站说明Debug 首先将指定的两个参数相加，然后从第一个参数中减去第二个参数。这些计算的结果显示在一行中：先计算和，然后计算差。vas黑色海岸线网络安

31、全资讯站范例假定键入以下命令：h19f 10aDebug 执行运算并显示以下结果。vas黑色海岸线网络安全资讯站02A9 0095I（输入）vas黑色海岸线网络安全资讯站从指定的端口读取并显示一个字节值。i port参数port按地址指定输入端口。地址可以是 16 位的值。有关将字节值发送到输出端口的信息，请单击“相关主题”列表中的 Debug O（输出）。vas黑色海岸线网络安全资讯站范例假定键入以下命令：i2f8同时假定端口的字节值是 42h。Debug 读取该字节，并将其值显示如下：vas黑色海岸线网络安全资讯站42vas黑色海岸线网络安全资讯站L（加载）将某个文件或特定磁盘扇区的内容加载到内存。要从磁盘文件加载 BX:CX 寄存器中指定的字节数内容，请使用以下语法：l address要略过 Windows 2000 文件系统并直接加载特定的扇区，请使用