windbg的好用的命令

最新推荐文章于 2022-06-28 19:43:07 发布
最新推荐文章于 2022-06-28 19:43:07 发布
阅读量760 收藏 1
点赞数
分类专栏: windows debug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjjlike/article/details/8551927
版权

1、有时候想对某个函数下断点,可就是记不清楚的函数具体的名字,好吧,使用x命令来列举所有的符号的。

命令格式为:

x [选项] 模块名字!符号匹配表达式, 如:

x et!* //于是,所以的et模块的函数都出来,哈哈~

2、64位生成器生成32位的程序的dump文件,查看时,可以使用以下命令转到32位模式下调试。

.load wow64exts !sw

3、如果想要了解该模块的详细信息,使用lm命令

lm命令可以用于查看模块的信息,详情可以看帮助文档。其中,

lmvm命令可以查看任意一个指定的已加载的DLL/EXE的详细信息,以及symbol的情况, 特别提醒的是,不要加后缀名(无论EXE/DLL)

lmvm

4、u 地址:用于显示指定地址的汇编代码。最常用法如下:

u eip       // 可以找出程序崩溃时执行的指令 及后7条指令

ub 7c80240f // 显示地址7c80240f 指向的指令 及前7条指令

5、du/da address: 以unicode或者ascii characters显示地址address指向的内存

ddaddress   // Double-word values (4 bytes)
dppaddress  // 显示指针address指向的地址

6、!handle [handle值] [显示的内容]:!handle handle_value f(显示所有句柄信息)

Syntax

// User-Mode
!handle [Handle [UMFlags [TypeName]]] 
!handle -?

// Kernel-Mode
!handle [Handle [KMFlags [Process [TypeName]]]]

7、dmp文件关联windbg

windbg.exe  -W Default -z "%1" -c ".ecxr;kb"    // %1表示dmp文件路径

8、句柄泄露调试

首先用windbg载入目标程序,!htrace -enable开启句柄跟踪开关。
某个时刻创建一次句柄快照:!htrace -snapshot
继续运行后进行一次句柄快照对比:!htrace -diff

如:执行!htrace -diff后,
Handle = 0x000005a0 - OPEN
句柄0x000005a0被打开了,可能是一次句柄泄露但是也不一定,需要继续分析,使用!htrace 0x000005a0命令显示创建该句柄的堆栈:

9、dt 类型 [地址]查看对象信息

dt soui!SOUI::SWindow           // 后面不加地址,则只展示对象结构信息
dt soui!SOUI::SWindow 0136fa6c  // 后面加对象地址,除了展示结构信息,也会把对象各成员的值解析出来

10、分析dump信息, 包括被断下来的蓝屏

!analyze -v

11、查看堆栈 - k, 一般用kb, 其他参数F1参见帮助文档

kb

12、关联.dmp文件到windbg的脚本。

@echo off
set dbgpath=\"C:\Program Files\Debugging Tools for Windows (x64)\windbg.exe\"
REG ADD "HKCU\Software\Classes\.dmp" /f /d dmpfile
set val=%dbgpath%,0
REG ADD "HKCU\Software\Classes\dmpfile\DefaultIcon" /f /d "%val%"
set val=%dbgpath% -c \".ecxr;kpn L\" -z \"%%1\"
REG ADD "HKCU\Software\Classes\dmpfile\Shell\open\command" /f /d "%val%
set val=%dbgpath% -c \"!wow64exts.sw; !analyze -v\" -z \"%%1\"
REG ADD "HKCU\Software\Classes\dmpfile\Shell\Analyze With Windbg  - wow64\command" /f /d "%val%"
set val=%dbgpath% -c \"!analyze -v\" -z \"%%1\"
REG ADD "HKCU\Software\Classes\dmpfile\Shell\Analyze With Windbg\command" /f /d "%val%"
REG DELETE "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dmp\UserChoice" /f
set /p finish="finsh!"

11、.time获取进程运行时间

.time
Debug session time: Thu Aug 22 10:11:04.000 2013 (UTC + 8:00)
System Uptime: 14 days 17:26:44.613     // 系统运行时间
Process Uptime: 14 days 17:14:25.000    // 当前进程运行时间
  Kernel time: 0 days 0:09:02.000
  User time: 0 days 0:42:36.000

12、.effmach x86

一般是用 !wow64exts 扩展切换机器类型。 在没有扩展的情况下,用内置命令 .effmach

.effmach (Effective Machine)
The .effmachcommand displays or changes the processor mode that the debugger uses.
Syntax
.effmach [MachineType] 

.x86 Use an x86-based processor mode
.amd64 Use an x64-based processor mode
.ia64 Use an Itanium-based processor mode
.ebc Use an EFI byte code processor mode


The processor mode influences many debugger features:
Which processor is used for stack tracing.
Whether the process uses 32-bit or 64-bit pointers.
Which processor's register set is active.

13、一个比较老的模块崩溃,PDB符号文件已经失传,代码是有的,此时强制加载符号文件就有用了,

.reload /i XXXX.exe

14、!sym

The !sym extension controls noisy symbol loading and symbol prompts.

!sym 
!sym noisy  // 会打印详细的加载符号信息
!sym quiet  // 加载符号时,不会打印详细的信息
!sym prompts 
!sym prompts off

15、!address

详见:https://www.cnblogs.com/kissdodog/p/3730598.html

16、vertarget 可以用 vertarget 命令来显示操作系统的详细信息

Windows XP Version 2600 (Service Pack 3) MP (2 procs) Free x86 compatible
Product: WinNt, suite: SingleUserTS
kernel32.dll version: 5.1.2600.5512 (xpsp.080413-2111)
Machine Name:
Debug session time: Sat Feb 21 14:01:29.638 2009 (GMT-8)
System Uptime: 0 days 18:40:50.509
Process Uptime: 0 days 0:00:05.546
Kernel time: 0 days 0:00:00.015 User time: 0 days 0:00:00.015

上面的输出告诉我们,该用户使用WinXP SP3, CPU 是 x86 双核。 该机已经持续运行了18个小时40分50秒, 当前调试进程刚刚启动(运行5秒钟)

17、!heap

堆信息查看命令,定位内存问题相当有用
详见:有道-windbg-定位内存占用问题

jjjlike
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
windbg调试命令大全
02-21
windbg调试命令大全 Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的...
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 8万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
Windbg命令学习1(vertarget和lm和lmvm)
weixin_30527551的博客
05-09 1227
1.g可以让目标程序继续执行,ctrl+break可以挂起正在运行的目标程序回到调试模式 2.vertarget vertarget 命令显示目标机的Microsoft Windows操作系统版本 给个示例: 0:011> vertarget Windows XP Version 2600 (Service Pack 3) MP (4 procs) Free x86 ...
Windows用户态程序高效排错 -- 排错的工具:调试器Windbg
agan4014的专栏
03-20 6313
这一部分主要介绍用户态调试相关的知识和工具。包括:汇编、异常(exception)、内存布局、堆(heap)、栈(stack)、CRT(C Runtime)、handle/Criticalsection/thread context/windbg/ dump/live debug和Dr Watson等。书中不会对知识点作全面的介绍,而是针对知识点在调试中过程中应该如何使用进行说明。知识点本身在
WinDbg 工具使用命令集合
dm569263708的专栏
05-12 185
WinDbg 工具使用命令集合
Windbg常用命令详解
dvlinker的技术专栏
06-28 1万+
本文详细介绍Windbg常用命令
windbg常用命令列表
03-17
windbg常用命令列表,整理的不错,希望对你有用,忘了就看看
Windbg调试命令详解
12-28
Windbg调试命令详解 Windbg调试命令详解 Windbg调试命令详解 Windbg调试命令详解 Windbg调试命令详解 Windbg调试命令详解
windbg常用命令
11-16
net高 CPU 内存泄露 windbg 工具 调试命令
windbg的系统异常状态设置
jjjlike的专栏
01-24 5035
sx显示系统异常设置状态, 如下 0:001> sx   ct - Create thread - ignore 创建线程   et - Exit thread - ignore  退出线程  cpr - Create process - ignore 创建进程  epr - Exit process - break 退出进程   ld - Load module - output 加
内存检查函数 CrtCheckMemory
jjjlike的专栏
03-05 1322
BYTE* a = new BYTE[10]; for (int idx = 0; idx <= 10; ++idx) { a[idx] = 1; _ASSERTE(_CrtCheckMemory()); } 内存越界了,这样就可以及时报错了。 //每个dll保证调用一次 _CrtSetDbgFlag(_CRTDBG_ALLOC_MEM_DF | _CRTDBG...
将应用程序绑定到windbg启动
jjjlike的专栏
01-16 1122
比如要绑定的windbg的应用程序名为 et.exe 1、修改注册表 首先在注册表中创建以下键值, HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/et.exe 然后,在此键上增加名为 Debugger的String Value,其值为windbg
vs 命令
jjjlike的专栏
08-26 463
1、vs 被动拉起命令参数(com中使用) -embedding 2、查看last error @err, hr 3、去掉注释的拼写检查(vs代码) 原因在于visual assist。在VAssistX菜单栏->Visual Assist X Options->展开Advanced->Underlines->把underlines spelling err...
各种特殊内存填充的含义
jjjlike的专栏
12-10 463
* 0xABABABAB : Used by Microsoft's HeapAlloc() to mark "no man's land" guard bytes after allocated heap memory * 0xABADCAFE : A startup to this value to initialize all free memory to catch errant p
利用CNN进行无人售货机的商品识别.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
node-v9.11.0-sunos-x86.tar.xz
最新发布
05-05
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
ch-PP-OCRv2-det.onnx
05-05
PP-OCR det
基于TensorFlow的无人机机动飞行LSTM 时序动作网络.zip
05-05
无人机最强算法源码,易于部署和学习交流使用
windbg 常用命令
09-29
以下是一些常用的 windbg 命令: 1. `!analyze -v`:自动分析当前崩溃的堆栈和线程信息。 2. `lm`:列出模块信息,包括加载的 DLL、驱动程序等。 3. `bp`:设置断点。 4. `g`:启动程序并运行到下一个断点或异常。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值