1.symbol path:
SRV*c:\symbols*http://msdl.microsoft.com/download/symbols;
2.command:
a) .symbpath //查看符号路径
b) lml //查看模块符号是否加载,no symbol,no debug!
c) !analyze -v //自动分析 .这个命令100%会用。方便而强大。读作“Bang! analyze dash v”
d) k //看大小?忘了什么意思了,反正很有用。
e) u @eip //查看汇编代码
f) !process //查看进程
g) !thread //查看线程
h) r @ebp //查看寄存器
i) ub @eip L10 //和u @eip差不多,看谁touch了寄存器
j) dc @ebp //查看内存内容
k) dps @esp //查看stack
上面的命令执行的顺序依次往下。有时在!analyze -v 就可以看到问题了,比如是驱动问题,ati什么的模块名字。有时候是ntdll之类的系统模块出问题,就的往下看是谁
动了ntdll,再往下分析....很难了。
可以在windbg命令行输入.hh打开帮助手册,所有命令都可以查到!