9.windbg-!sym、.reload、!chksym

最新推荐文章于 2022-07-23 19:38:56 发布
最新推荐文章于 2022-07-23 19:38:56 发布
阅读量9.2k 收藏 8
点赞数 2
分类专栏: windbg 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/7555378
版权

!sym

!sym 扩展控制显示详细的符号加载和符号提示。

0:001> !sym
!sym <noisy/quiet - prompts/prompts off> - quiet mode - symbol prompts on


0:001> !sym noisy  ///< 激活详细符号加载
noisy mode - symbol prompts on
0:001> !sym quiet ///< 禁止详细符号加载
quiet mode - symbol prompts on

0:001> !sym prompts ///< 当SymSrv接收到认证请求时,允许弹出对话框
quiet mode - symbol prompts on
0:001> !sym prompts off ///< <span style="font-family: Arial, Helvetica, sans-serif;">当SymSrv接收到认证请求时,禁止弹出对话框</span>
quiet mode - symbol prompts off

都那么聪明,一个是noisy-quiet,一个是prompts off-prompt on,掌握了

 

.reload

.reload 命令删除指定模块的所有符号信息,并且按需要重新加载这些符号。某些情况下,该命令也会重新加载或卸载模块本身。


0:001> .reload /d ntdll.dll///< d 重新加载调试器模块列表中的所有模块
Reloading current modules
................................
DBGHELP: C:\WINDOWS\symbols\ntdll.pdb - file not found
DBGHELP: ntdll - public symbols  
         C:\WINDOWS\symbols\dll\ntdll.pdb

好吧,我们发现没有立即显示加载符号

0:001> lm m gdi32     ///< deferred状态
start    end        module name
77200000 77290000   GDI32      (deferred)             

0:001> .reload /f gdi32.dll      ///<f 强制调试器立即加载符号,注意是gdi32.dll不是gdi32
SYMSRV:  c:\mysymbol\wgdi32.pdb\6E2E9DA4A20241F7B6BB0F1B89FD7A522\wgdi32.pdb not found
SYMSRV:  wgdi32.pdb from http://msdl.microsoft.com/download/symbols: 216845 bytes - copied         
DBGHELP: c:\mysymbol\wgdi32.pdb\6E2E9DA4A20241F7B6BB0F1B89FD7A522\wgdi32.pdb already cached
DBGHELP: GDI32 - public symbols  
         c:\mysymbol\wgdi32.pdb\6E2E9DA4A20241F7B6BB0F1B89FD7A522\wgdi32.pdb

0:001> lm m gdi32 ///<加载成功
start    end        module name
77200000 77290000   GDI32      (pdb symbols)          c:\mysymbol\wgdi32.pdb\6E2E9DA4A20241F7B6BB0F1B89FD7A522\wgdi32.pdb

我们发现,第一次lm查询时GDI32(deferred),调用.reload /f加载后,再次lm,我们可以看到GDI32 (pdb symbols),OK,那我们也猜到了,如.reload /f不带模块,那么是不是会重新加载所有的symbols:

0:001> .reload /f
Reloading current modules
.
DBGHELP: C:\WINDOWS\symbols\calc.pdb - file not found
DBGHELP: calc - public symbols  
         C:\WINDOWS\symbols\exe\calc.pdb
.
DBGHELP: C:\WINDOWS\symbols\safemon.pdb - file not found
DBGHELP: C:\WINDOWS\symbols\dll\safemon.pdb - file not found
DBGHELP: C:\WINDOWS\symbols\symbols\dll\safemon.pdb - file not found
SYMSRV:  C:\MyLocalSymbols\safemon.pdb\84C1B55127174ACAA421A85A983FA63B1\safemon.pdb not found
SYMSRV:  http://msdl.microsoft.com/download/symbols/safemon.pdb/84C1B55127174ACAA421A85A983FA63B1/safemon.pdb not found
DBGHELP: C:\Program Files\360\360Safe\safemon\safemon.pdb - file not found
DBGHELP: E:\repos\safemon_8_1_1\Release\safemon.pdb - file not found
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for C:\Program Files\360\360Safe\safemon\safemon.dll - 
DBGHELP: safemon - export symbols
.
DBGHELP: C:\WINDOWS\symbols\AcGenral.pdb - file not found
DBGHELP: AcGenral - public symbols  
         C:\WINDOWS\symbols\DLL\AcGenral.pdb
DBGHELP: comctl32 - public symbols  
         C:\MyLocalSymbols\MicrosoftWindowsCommon-Controls-6.0.2600.6028-comctl32.pdb\E882C2C890724D598449E20A4FE6F07C1\MicrosoftWindowsCommon-Controls-6.0.2600.6028-comctl32.pdb
.
............................................
0:001> lm
start    end        module name
01000000 0101f000   calc       (pdb symbols)          C:\WINDOWS\symbols\exe\calc.pdb
10000000 100b0000   safemon    (export symbols)       C:\Program Files\360\360Safe\safemon\safemon.dll
..................................
77fc0000 77fd1000   Secur32    (pdb symbols)          C:\MyLocalSymbols\secur32.pdb\7867B3F28B5C41CE847895E3FC013DC52\secur32.pdb
7c800000 7c91e000   kernel32   (pdb symbols)          C:\MyLocalSymbols\kernel32.pdb\072FF0EB54D24DFAAE9D13885486EE092\kernel32.pdb
7c920000 7c9b3000   ntdll      (pdb symbols)          C:\WINDOWS\symbols\dll\ntdll.pdb
7d590000 7dd84000   SHELL32    (pdb symbols)          C:\MyLocalSymbols\shell32.pdb\DF59C75CA10B4BF89B447BB924C4292C2\shell32.pdb

果然如此!

/i 忽略 .pdb文件版本不匹配的情况。(如果没有包含该参数,调试器不会加载不匹配的符号文件。) 使用 /i时,即使没有明确指定,也会使用 /f/l 列出模块但是不重加载它们的符号。(内核模式下,使用该参数的输出和 !drivers 扩展命令一样。) /n 仅重加载内核符号。该参数不会重加载任何用户模式符号。(只能在内核模式调试时使用该选项。) /o 强制覆盖符号服务器的下游存储(downstream store)中的缓存文件。使用该标志时,还需要包含 /f。默认情况下,下游存储中的文件永远不会被覆盖。

由于符号服务器对每个版本的二进制文件的符号使用不同的名字,除非确认下游存储被破坏了,否则不需要使用该选项。

/s 重新加载系统的模块映像列表中所有模块。(省略所有参数时,在内核模式下这是默认行为。) 如果在用户模式调试时使用名字来单独加载某个系统模块,则必须包含 /s/u 卸载指定模块和它的所有符号。调试器卸载任何名字匹配 Module 的模块,不管它的全路径是什么。映像名也会被搜索。更多信息,查看下面的注释节。 /unl 基于已卸载模块列表中的映像信息重新加载符号。 /user 仅重加载用户模式符号。(只能在内核模式调试时使用该选项。) /v 打开详细显示。 /w Module 当作一个字面上的字符串。这样可以避免调试器展开通配符。


 reload /u 命令进行更广泛的搜索。调试器首先尝试使用Module 匹配精确的模块名,不管路径是什么。如果找不到匹配项,Module 被当作已加载的映像名。例如,如果HAL在内存中的名字为halacpi.dll,下面两个命令都可以卸载它的符号。

<nobr>kd> .reload /u halacpi.dll
kd> .reload /u hal</nobr>

如果在进行用户模式调试,并且希望加载一个不在目标程序模块列表中的模块,必须像下面的例子一样使用/s选项。

<nobr>0:000> lm m dmmain
start    end        module name
0f5f0000 0f6ac000   DmMain     (export symbols)       I:\GameDL\Tools\PPSeedTool\build\Debug\DmMain.dll
0:000> .reload /u DmMain
Unloaded DmMain
0:000> lm m dmmain
start    end        module name
0:000> .reload /s /f DmMain.dll

*** ERROR: Symbol file could not be found.  Defaulted to export symbols for I:\GameDL\Tools\PPSeedTool\build\Debug\DmMain.dll - 
DBGHELP: DmMain - export symbols
0:000> lm m dmmain
start    end        module name
0f5f0000 0f6ac000   DmMain     (export symbols)       I:\GameDL\Tools\PPSeedTool\build\Debug\DmMain.dll</nobr>


如果一个dll被内嵌于exe中,默认只会加载exe的pdb,.reload提供了强制加载的方式

1..sympath+ 增加pdb路径文件夹

2..reload /i 模块名=基地址,大小                         /i忽略.pdb文件版本不匹配的情况。(如果没有包含该参数,调试器不会加载不匹配的符号文件

实例如下:

0:001> lm
start    end        module name
00400000 00ad0000   test011    (deferred)             
02810000 02b7a000   SOGOUWB    (deferred)

其实在ad0000后附带了个内嵌的maincode_org.dll

设置pdb路径操作:如果下述方式不行,就加到file->symbol file path中,记得不要有中文路径

0:001> .symfix+ E:\项目SVN
加载 

0:001> .reload /i maincode_org=00AD0000,0024E000
*** WARNING: Unable to verify timestamp for maincode_org
0:001> x maincode_org!*
00ceb628 maincode_org!g_timeGetTime = 0x00000000
00cf8814 maincode_org!g_szMessage = 0x00000000 ""
00cfb504 maincode_org!g_pSetWindowPos = 0x0000000

此方式也可强制加载其他的pdb,比如有时你需要用到某个pdb的某个结构体时


!chksym

!chksym 扩展测试一个符号文件对某个模块的有效性。

语法

!chksym Module [Symbol

实例如下:

可使用地址

0:000> !chksym 01000000 

02sample.exe
    Timestamp: 472187DC
  SizeOfImage: 6000
          pdb: 02sample.pdb
      pdb sig: B3332E53-EDAB-4CF8-9111-7344EAFA46D8
          age: 1

Loaded pdb is e:\fuxi\windbg\windowsadv\symstore.pri\02sample.pdb\B3332E53EDAB4CF891117344EAFA46D81\02sample.pdb

02sample.pdb
      pdb sig: B3332E53-EDAB-4CF8-9111-7344EAFA46D8
          age: 1

MATCH: 02sample.pdb and 02sample.exe

 也可使用文件名

0:000> !chksym 02sample.exe

02sample.exe
    Timestamp: 472187DC
  SizeOfImage: 6000
          pdb: 02sample.pdb
      pdb sig: B3332E53-EDAB-4CF8-9111-7344EAFA46D8
          age: 1

Loaded pdb is e:\fuxi\windbg\windowsadv\symstore.pri\02sample.pdb\B3332E53EDAB4CF891117344EAFA46D81\02sample.pdb

02sample.pdb
      pdb sig: B3332E53-EDAB-4CF8-9111-7344EAFA46D8
          age: 1

MATCH: 02sample.pdb and 02sample.exe





花熊
关注
专栏目录
【C++软件调试技术】使用 Windbg 分析软件异常时的诸多细节与技巧总结
dvlinker的技术专栏
07-27 2万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结
Windbg使用详解
热门推荐
dvlinker的技术专栏
10-07 2万+
本文详细介绍了Windows调试工具Windbg的使用。
windbgreload命令
erikaIT的博客
02-03 3089
.reload,重新加载模块的符号 1、.reload,重新加载所有模块符号,但不会立即加载,任何解析符号的动作都会导致重新加载 2、.reload moduleName,重新加载指定模块符号 3、.reload -f,立即重新加载所有模块的符号文件 4、.reload -f moduleName,立即重新加载指定模块的符号文件
windbgsymfix命令
erikaIT的博客
03-10 2296
windbg的符号文件: 1、.sympath path,path为符号所在路径,可以是url、unc、ftp之类的。该命令会覆盖之前的符号路径。 2、.sympath+ path,在原符号基础上添加新的路径。 符号服务器的路径写法:SRV*cache path*server path; 例如:SRV*C:\\myserversymbols*http://msdl.microsof
windbgchksym命令
erikaIT的博客
03-10 758
!chksym modulename,用于检测加载的符号文件是否正确。 eg:!chksym ntdll
Windbg 使用时Symbol缺失 之 .reload命令
badbad_boy的专栏
06-15 5346
今天对着Windows Internals的步骤查看IDT。输入!idt命令后,显示的是一些地址,而文章中的例子中,可以显示出地址对应的方法名。因此推断是对应的symbol文件没有找到。不过WindbgSymbol File Path 设置的是到网络上自动下载Symbol呀:SRV*C:/dbg/symbols*http://msdl.microsoft.com/downlo
windbg常用命令浅析
佛道教主
01-23 950
!sym !sym 扩展控制显示详细的符号加载和符号提示。 [cpp] view plain copy 0:001> !sym   !sym  - quiet mode - symbol prompts on   [cpp] view plain copy 0:001> !sym
WinDBG命令行大全.zip
04-11
下面将详细介绍WinDBG的一些核心命令及其应用。 1. **kdexts**:这是WindDBG的一组扩展命令,用于提供对内核模式调试的支持。例如,`!process`用于显示进程信息,`!thread`用于查看线程状态,`!analyze -v`则用于...
Windbg使用手册.zip
10-13
Windbg是一款强大的Windows调试工具,尤其在逆向工程和系统级问题排查方面有着广泛的应用。它是微软提供的一个免费工具,适用于Win32平台,对于软件开发者、系统管理员以及逆向工程师来说,是不可或缺的工具之一。这...
windbg学习笔记
wskz876的专栏
02-08 1502
写与2014年6月3日Default Workspace 默认工作空间 implicit Workspace 隐含工作空间Named Workspace 命名工作空间 explicit Workspace 显示工作空间Base Workspace 基础工作空间 dormant 状态Default Kernel-mode Workspace 默认内核态工作空间Remote Default Wo...
WinDBG命令行大全
09-07
WinDBG,全称为Windows Debugger,是一款强大的调试工具,主要用于对Windows操作系统进行内核级和用户模式的调试。它提供了一个命令行界面,使得开发者和系统管理员可以深入理解系统的运行状态,排查故障,优化性能...
WinDBG 常用调试命令总结
CSDN
06-10 1万+
Windbg(Windows Debugger)是一款由Microsoft开发的用于Windows操作系统的强大调试工具。它主要用于分析和调试Windows应用程序、驱动程序以及操作系统本身的问题。Windbg提供了许多功能和命令,可用于诊断和解决各种软件和硬件问题,包括崩溃、死锁、性能问题等。
Windbg调试命令详解(2)
张佩的技术库
09-01 6257
符号与源码是调试过程中的重要因素,它们使得枯燥生硬的调试内容更容易地调试人员读懂。在可能的情况下,应该尽量地为模块加载符号和源码。大部分情况下源码难以得到,但符号却总能以符号文件的形式易于得到。 什么是符号文件呢?编译器和链接器在创建二进制镜像文件(诸如exe、dll、sys)时,伴生的后缀名为.dbg、.sym或.pdb的包含镜像文件编译、链接过程中生成的符号信息的文件称为符号文件。具体来说,符号信息包括如下内容: 全局变量(类型、名称、地址); 局部变量(类型、名称、地址); 函数(名称、原型、地址
WinDbg实践--入门篇
NLP工程化
07-23 3098
  WinDbg从字面意思就是Windows+Debug的组合,即Windows平台上的调试工具,可以调试用户模式、内核模式、dump文件等,总之知道它的调试功能非常强大就行了。WinDbg调试命令分为3种,分别是基本命令、元命令和扩展命令。基本命令和元命令是调试器自带的,元命令总以"."开头,而扩展命令总以"!"开头。后面的系列主要是通过例子+命令来实践WinDbg。 一.配置微软符号服务器[没能成功]   WinDbg在Windows程序中,通常都有一个和XXX.exe相同名字的XXX.pdb,pdb的
WinDbg符号表修复记录
WorryFree
12-05 705
WinDbg符号表修复解决!process 0 0无效,以及dt xxx无效一类!
如何加载无法加载的symbol
pipilupzj的专栏
02-15 1332
最新一直在分析产品反馈回来的dump,分析过程中发现有一些dump的symbol无法加载。比例很小,1000个dump,只有7个没法加载symbol。 即使使用.reload /i也无法加载: 0:000> .reload /i alibrowser.exe Unable to load image C:\ProgramFiles\AliBrowser\Alibrowser.exe, Win
WinDbg学习笔记整理
kezhen的专栏
03-26 1719
转http://www.vcfans.com/2010/04/windbg-study-notes-order.html 去年看WinDbg帮助时随手记下来的一点资料,放上来保存一下,有新内容我会陆续更新上来。 1. 命令行前数字的含义 用户调试模式下,如2:005, 2表示进程ID,005表示线程ID 内核调试模式下,将显示kd>, 如果是多核处理器将显示0: kd> 0:表示当前运
windbg中!ip2md
最新发布
03-10
Windbg中,`!ip2md`是一个非常有用的命令,它用于将指令指针(Instruction Pointer)转换为方法描述符(Method Descriptor)。通过这个命令,我们可以获取到指定指令所在的方法的相关信息。 具体来说,`!ip2md`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值