WinDbg基础

最新推荐文章于 2023-07-03 16:47:17 发布
最新推荐文章于 2023-07-03 16:47:17 发布
阅读量397 收藏
点赞数
分类专栏: Windows windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/johns78m/article/details/81537748
版权

https://wenku.baidu.com/view/4e58744dcf84b9d528ea7a42.html?sxts=1533793949189(参考)

 

1.  windbg根据CPU架构分为不同的版本:

x86

AMD64

IA64

2.可以调试什么

1)APP 2)driver 3) 分析dump

3.windbg vs vc debug

win 调试粒度更小,使用符号文件更多。可以调试驱动。都支持remote debug

都使用dbhelp.dll+dbgeng.dll内核,IDE不同,VC没有把核心所有功能都开放出来。

让vc 获得同样的符号加载功能symsrv.dll拷贝到VC的IDE下

4.用windbg保存dump

F6 attach app后.dump /ma c:\dump\xxx.dmp

detach 否则app会关闭。

dump随时可以产生,只要你会windbg

!analyze -v自动分析 (minidump是没有分析意义的)

-lm看所有thread

~*kb显示所有线程的callstack

调试,分析就是找联系,symbol code 都是联系的桥梁,如果没有pdb怎么办?那image(目标dll exe)就是你主要的桥梁。IDA将是你手中的另一个利器。

5.主动调试应用程序(即attach)

6.被动调试

windbg自动工具Global Flags (StartMenu -> Global Flags)image file debugger (D:\Tools\Windbg.exe)

c:\>sc config kis type=own type=interact

启动kisservice.exe windbg就出来了。

请快速让进程走过RegisterServiceCtrlHandlerEx()否则timeout,进程和windbg都结束,不再有调试机会。

7.被动vs主动

MessageBox vs __asm int 3 ()

windbg.exe -l 为把windbg装上,一崩溃就有windbg调试。

 

8.命令篇

.exr 显示异常记录

!handle  显示一个handle信息

.thread   切换cur thread

!locks     检查有无死锁

u 反汇编

d db dd 显示指定地址的内存

bp bc bd 下断点 清断点 禁断点

ba 下内存断点

 

内核调试

用虚拟机VMWARE

windbg.exe

-k com1 pipe,port \\.\pipe\com1 

boot menu中:

winxp_sp2[启用调试程序]

联机内核调试是NT自带的一个功能,使用softice可以单机内核调试,但是缺点太多,不再流行。

双机连接流程,调试驱动就像调试APP一样。

双机联调其他方式:

1394卡需要HOST TARGET机都有1394卡虚拟机不模拟

USB XP很麻烦,需要特殊的cable,好像用VMWare可以调试VISTA系统。

 

实战

update.exe kavstart.exe kwatch.exe 现象是UPDATE.EXE卡死,实际kwatch.exe问题。

 

二次开发

驱动开发注意问题

WHQL测试

 

 

 

 

 

 

 

johns78m
关注
专栏目录
WinDbg基础(1)
zyx_hawk的专栏
08-23 640
加载符号 如果Symbol文件和对应的dll或exe在同一目录下,那么在调试的过程中,当dll或exe文件被加载的时候,对应的Symbol文件也会自动加载,所以一般情形下我们不需要设置Symbol路径。如果pdb文件和dll文件不再同一目录下,我们也可以手动的设置Symbol的路径。一般设置Symbol的方式有两种: 1. 通过菜单设置 注意:设置了Symbol路
windbg_appVerifier_globalFlags.rar
12-15
软件崩溃调试工具,包含windbg,applicationVerifier,globalFlags三个软件。
windows下堆异常调试神器--gflags
weixin_30839881的博客
07-05 564
经常遇到一很郁闷的事情:发布给外部客户使用的程序crash了,把dump文件丢过来,对上pdb之后发现显示的调用栈莫名奇妙,或者是一个stl::vector的push_back调用,要么是在一个malloc分配内存或者new创建对象,甚至可能是一个字符串赋值;这些从代码上看怎么看都不应该导致程序crash的,这时候一般就是程序写内存越界,堆被破坏,导致显示的调用栈异常了。怎样才能确定导致程序异常的...
堆(heap)系列_0x06:NT全局标志和gflags.exe一页纸
可乐松子的博客
06-27 1331
NT全局标志是由一组位(bit)组成的32位数值,每一位都代表特定的功能;全局标志有2种影响范围:(影响所有进程,或者叫进程级)和(进程级的优先级更高)下面通过几个问题来介绍全局标志问题1:系统级别的全局标志怎么影响单个进程?没有指定进程级的全局标志时,进程级全局标志的影响流程:进程级的在进程创建时,通过进程加载器传播给每个用户态进程(被保存在进程环境块字段中)问题2:进程什么时候加载全局标志?进程的执行要经历进程加载器将磁盘上的文件加载到内存的过程(即PE文件的加载过程),此时会从注册表(如果有值话)读取
global flags
yinhaijing123的专栏
04-16 3499
shao hou shang chuan
gflags调试访问越界
mergerly的专栏
12-17 9279
昨天、今天调dump,对windbg相当的不熟悉,但也慢慢的知道了一些常用的命令,几周前听说到有gflags这样个工具,今天正好测试下。   gflags.exe是中的一个小工具。   安装下载链接:http://msdn.microsoft.com/en-us/windows/hardware/gg463016   安装好之后,把gflags所在文件夹(这里边还
WINDBG 查崩溃
最新发布
八零点点
07-03 504
注意看“Following XXX”,字面意思是接下来的段可以错了,程序在这里崩溃了的意思,因为是从下往上走的,所以“Following XXX”上方的内容就是崩溃后的东西,而“Following XXX”下方的内容就是导致崩溃的“原因”,越接近“Following XXX”的越代表有可能是导致崩溃的直接模块,但是这不一定。符号是可以定位到具体函数,甚至具体错在哪一行代码的。b) 当进程没有自保护或者没有反调试时,在input框输入g,回车,即可打开进程,此时如果进程发生崩溃,会被立即捕捉到。
Windbg基础知识
01-31
### Windbg基础知识详解 #### 概述 在软件开发领域,遇到程序运行异常时,开发者通常采用多种方式来定位和解决问题。Windbg作为一款强大的Windows平台下的调试工具,提供了从高级语言到汇编语言级别的全面调试能力...
Windows用户态程序排错:Windbg基础教程
1. **Windbg基础**:Windbg是一个强大的Windows调试器,它能够用于调试用户模式和内核模式的应用程序。通过学习这个教程,读者可以掌握如何使用Windbg进行调试,包括设置断点、查看内存状态、分析堆栈、跟踪执行流程...
对话框flags
fg313071405的专栏
03-23 467
Code: control = EDWIN{flags = EEikEdwinNoHorizScrolling | EEikEdwinResizable;width = 11;lines = 1;maxlength = 11;avkon_flags = EAknEditorFlagFixedCase | EAknEditorFlagNoT9 | EAknEditorFlagSupressShift
WINDBG常用方法【转】
a85703的博客
03-19 232
浸没在windows客户端测试好几年了,虽然使用过,但是就差一篇总结文章。 前言:windbg大家都很熟悉,它是做windows系统客户端测试的QA人员很应该掌握的定位程序崩溃原因的工具, 网上也有很多资料,但是真正适合QA阅读和实用的资料不多,我把我认为最重要最应该掌握的结合以前的使用经验分享一下: 基础篇 1、 打开windbg,打开dmp文件,File——〉ope...
Windbg分析dmp时没有明确提示代码位置时的处理
过好每一天的女胖子
03-12 1942
第一种情况 在用windbg打开dmp文件时会出现: 1、运行!analyze -v提示以下内容 0:124> !analyze -v ******************************************************************************* * * *
调试工具简介
华章IT官方博客
06-09 513
  第1 章   调试工具简介      许多技术性的书籍和文章都指出了在正确的软件设计和软件工程原则中包含的重要性。有些书侧重于介绍在方法与实践之间的均衡性,而有些书则注重对方法的描述。一些书讨论了面向对象设计、设计模式以及模块化编程等方法,这些方法都能帮助我们编写出更强大的软件。毫无疑问,正确的软件开发方法是所有软件项目获得成功的必要条件。然而,它们却并不是软...
《深入理解Windows操作系统》笔记5
数据库天地
02-10 341
Windows全局标志保存在一个名为NtGlobalFlag的系统范围的全局变量中,此变量通过HKLM\SYSTEM\CurrentControlSet\Control\Sessionmanager\Globalflag来初始化的,默认值是0。使用gflag /?。C:\Program Files\Support Tools>gflags /?usage: GFLAGS [-r [<F...
windbg简单调试内存泄漏
weixin_43787608的博客
12-01 868
0x00 首先使用 gflags 设置heap堆栈追踪参数: Gflags.exe /i +ust 设置完成后后,我们可以在 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options<Image Name>” GlobalFlag 中看到刚才设置的参数。 ...
windows系统软件崩溃分析
zeng675147的博客
12-15 2587
软件崩溃,page heap ,windows崩溃。
使用WINDBG检测内存泄漏
flyingleo1981的专栏
09-15 2758
使用WINDBG检测内存泄漏 一、使用命令!heap –s抓取快照   二、再次使用命令抓取快照 三、使用命令查看内存情况!heap –stat –h addr【!heap -stat -h 03570000】 四、使用命令分别查看较高的内存使用情况!heap –flt s 16c 五、使用命令查看调用堆栈即可以判断内存泄漏情况!heap –p –a 0bba8530
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值