Windbg 常用命令

已于 2024-03-11 13:47:38 修改
阅读量430 收藏 9
点赞数 8
分类专栏: windows 文章标签: 运维
于 2023-12-27 17:07:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luopandeng/article/details/135250845
版权

进程 线程

!process

<process> <flag 0-7> <image name>

process

就是任务管理器里面的进程ID16进制

!process 0 0

!process 0 0 everything.exe

!process ffffc283dd15f0c0 7

Kernel mode

.process

/i

切换进程

.process /i 0x69ac50c0

kernel

~

列举当前进程所有线程

User mode

!thread

Address

显示线程信息

!thread – 1 0

!thread 0xffffcb088f0a448

kernel

~0s

内核态:切换CPU

用户态:切换线程

~0s

~1s

Kernel modeuser mode

.thread ffffba86053d1200

一些 常见得命令补充:

!pci 100 0x3f 0 0 查看0x3f这个设备PCIE解析过的空间

.kdfiles -m System32\drivers\xx windbg 替换驱动

!reg querykey \REGISTRY\MACHINE\SYSTEM\ControlSet001\services 查注册表

打印WPP日志

.load rcdrkd

 !rcdrkd.rcdrlogdump icp_qat4.sys  打日志

 !rcdrkd.rcdrlogdump icp_qat4.sys -d   打debug日志

!stacks 2 xxx  显示xxx相关的线程. 命令需要花费比较长得时间

PF windbg查看VF configuration space用这个命令即可,其中VFBDFPF基础上加偏移nnVF的偏移位。

102: kd> !pci 0x100 6b 0 n

102: kd> !pci 0x100 6b 0 1

!verifier 3 drivername 分析内存泄漏

保存到文件

.logopen c:\2060_ok.txt

!dd [uc]2060FF600000 l 80000

!dd [uc]2060FF800000 l 200000

.logclose

如何用VS远程调试R3程序

  1,找到VS对应版本的Remote Debugger文件夹(用everthing搜索)

  2,复制对应位数的远程调试文件夹到目标机器上(目标机器为32位复制x86,反之复制x64)

  3,管理员权限打开msvsmon.exe,点开菜单栏的Tools,记下端口号,并在下方选择No Authentication-Allow any user to debug

  4,在本地VS中上方菜单栏将Local Windows Debugger改为Remote Windows Debugger

  5,点开要调试项目的属性,选择Debugging项,在Debugger to launch 中选择Remote Windows Debugger,在Remote Server Name中填上机器IP:PORT,在Remote Command中填上对应程序的exe完整路径+名字(如:c:\1\2.exe),在Working Directory中填写对应程序的exe目录(如:c:\1),在Connection中选择Remote with no authentication。如有命令行参数需求,可以在Remote Command Arguments中填上。完成后点击保存

  6,回到VS界面,点击上方绿色箭头开始调试

PS:注意关闭双边防火墙

PS2:如何远程调试dll?在对应dll的pdb在本地的情况下,用上面方式调试一个加载dll的exe,在LoadLibrary的时候F11单步步入可以进入dll的DllMain函数,在后续动态调用dll对应函数(GetProcessAddr获取的函数)时F11单步步入可以进入到dll对应的函数,并且自动加载dll的源文件。如果没有PDB要进入对应函数,可以在VS最上方菜单栏中选择打开汇编窗口,依旧可以F11单步步入。

PS3:VS调试管理员权限的程序需要自身是管理员权限启动,如果是远程调试程序需要管理员权限则远端机器上msvsmon.exe需管理员权限启动

Windbg 配置

bcdedit /debug on

bcdedit /dbgsettings net hostip:10.112.137.125 port:50010 key:1.2.3.4

bcdedit /set "{dbgsettings}" busparams 184.0.2

bcdedit -set TESTSIGNING ON

shutdown -r -t 0

!dma Adapter [Flags 7f]

!devstack xxx

!numa

!token

!cs 锁的地址 就能看到谁占用了这个锁

Qd 结束会话

!handle 120 f 打印hangle 120 的信息

!pte addr

!peb 进程环境块

!teb 线程环境块

ba r4 nt!NtGlobalFlag / ba rc 7763d879 读4字节

lm 列举已经加载的模块以及起始地址

lmv -m icp_qat4 查看详细信息 可以看到pdb加载情况

~*k 列出进程所有线程堆栈

~0k 0号线程堆栈

.locks

!idt -a

.tss 58

!dpcs

luopandeng
关注
专栏目录
Windbg常用命令详解
dvlinker的技术专栏
06-28 1万+
本文详细介绍Windbg常用命令
windbg常用命令列表
11-04
自己搜集的windbg常用命令列表,希望对大家有用。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
Windbg调试命令详解
Boy_Kris的专栏
02-28 2524
转载注明>> 【作者:张佩】【原文:http://www.yiiyee.cn/Blog】 1. 概述 用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是:cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序,Kd.exe主要用于内核调试,有时候也用于用户态调试,上述三者的一个共
windbg常用命令
最新发布
Simona_Wu的博客
08-07 369
scriptload : 加载 JavaScript 脚本。windbg -p : 按进程 ID 启动调试。windbg -pn : 按进程名称启动调试。F10: 单步执行,不进入函数(相当于 p)。F11: 单步执行,进入函数(相当于 t)。process 0 0: 列出所有进程。kp: 显示带参数和调用约定的堆栈调用。process: 列出当前系统的进程。lmv: 列出加载的模块及其详细信息。handle: 列出当前进程的句柄。thread: 列出当前进程的线程。.logopen : 打开日志文件。
windbgkd命令
darthas的专栏
09-26 1802
1. !idt 显示idt信息,!dpcs显示dpc信息 2. !stacks 1 XX 显示内核栈信息,1表示换出的内核栈也显示,XX是一个过滤条件,如写为ndis,则只显示包含ndis的栈 3.
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 9万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
软件调试实战:windbg 内核调试 (lkd kd
huanongying131的博客
06-04 4890
http://advdbg.org/books/swdbg/samples.aspx 一,本地内核调试( lkd ): 管理员权限启动windbg,ctrl + k --> Local 二,查看进程数据结构 1.启动计算器 2. !process 0 0 列出系统内的所有进程 3. dt _EPROCESS 88270030 ...
Windbg/KD驱动调试点滴–将平时调试的一些小方法共享给大家 --------- 转
weixin_34087301的博客
06-29 293
Windbg/KD配置可以参见xIkUg的文章 1,调试动态加载的驱动,如果有符号,则可以在驱动加载前,在Windbg/KD中执行如下命令 bu mydriver!DriverEntry,驱动在载入的时候就会被断在DriverEntry函数入口. 2,如果没有符号,1种办法是,在系统调用DriverEntry处下断,因为操作系统不同,所以其具体位置也不一样, 不过目前...
WinDbg常用命令
12-22
由于文档扫描识别错误,很多具体命令可能难以确定其准确含义,但大致可以推断出其功能是在调试和逆向工程中常用的。 总之,WinDbg是一个功能强大的调试工具,它通过提供丰富的命令、快捷键和参考资料,极大地方便了...
Windbg 命令 (一)
wupeng4389151的博客
08-27 827
Windbg 命令
反病毒工具-WinDBG
KD的疯狂实验室
05-28 1213
WinDBG=WinDebug简介这是一款正宗专业强大的调试工具.它是微软程序员手中的利器. windows的开发过程中就是由它调出来的.感受一下.几乎一切Ring3和Ring0(内核)的问题都可以由它来辅助你解决.它的机制与windows调试支持最为融洽. 我们这里介绍的是它的窗口版本.如果你安装了VisualStudio系列软件,它已经被默认安装在了你的电脑中.搜索windbg你可以找到它.
windbg:常用指令
Mr.Sugarcane
01-25 720
windbg调试常用指令
windbg 常用调试命令总结
就是那个党伟
10-16 2852
1.显示所有线程 ~ // 显示所有线程 ~* 2.显示堆栈 kb // 显示当前堆栈 ~0 k // 显示第0个线程的堆栈,主线程
windbg调试入门
blacet的专栏
10-28 1242
windbg调试入门 转载:http://www.cnblogs.com/kekec/archive/2012/12/02/2798020.html 使用前首先设置符号表,菜单File=>symbol File Path。 如设置为: srv*C:\Program Files\Debugging Tools for Windows (x86)\sym*http://msdl.
【WIN】WinDBG 常用命令整理
此地无银
03-12 2541
windbg命令整理
windbg 常用命令
HeroRazor的专栏
11-15 2963
常用的Windbg命令
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

luopandeng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值