WinDbg
MEMEMEMENG
这个作者很懒,什么都没留下…
展开
-
WinDbg学习笔记(一)--认识WinDbg
标 题: 【原创】WinDbg学习笔记(一)--认识WinDbg作 者: gaorqing时 间: 2009-07-27,20:45:27链 接: http://bbs.pediy.com/showthread.php?t=94457WinDbg学习笔记(一)--认识WinDbg一、前言 本人学习WinDbg已经有好几天了,虽说技术掌握的还不太熟练,不过也总算是入转载 2016-03-31 20:41:08 · 488 阅读 · 0 评论 -
WinDBG命令概览(下) - 扩展命令
扩展命令(Extension Command)用于实现针对特定调试目标的调试功能. 与标准命令和元命令是内建在WinDBG程序文件中不同, 扩展命令式实现在动态加载的扩展模块(DLL)中的. 利用WinDBG的SDK, 用户可以自己编写扩展模块和扩展命令. WinDBG程序包中包含了常用的扩展命令模块. 存放在以下几个子目录中.NT4CHK: 调试目标为Windows NT转载 2016-04-01 10:03:03 · 356 阅读 · 0 评论 -
关于抓DUMP的一些链接
Debug Diagnostic Tool 和 WinDBG 的比较这篇文章中, 比较了二者的区别, 介绍了一些简单的用法, 比如分别如何抓hung dump, crash dump.http://blogs.msdn.com/tess/archive/2008/05/21/debugdiag-1-1-or-windbg-which-one-should-i-use-and-how转载 2016-04-01 10:03:38 · 210 阅读 · 0 评论 -
关于DUMP的基础知识
什么是内存转储文件, 即dump?======================内存转储文件时一个进程或系统在某一给定的时间的快照. dump文件的种类有很多, 不同种类的dump文件包含不成程度的数据. 用户态内存转储文件 VS 内核态内存转储文件======================如果你抓一个进程的dump文件, 那么你抓取的是用户态的du转载 2016-04-01 10:04:34 · 919 阅读 · 0 评论 -
在进程崩溃的时候自动抓取一个DUMP文件
在如下的情况下需要使用这样的技巧:1. 生产环境上出问题, 我们需要抓取dump文件, 在线下去debug.2. 正在运行一大堆测试, 当其中一个崩溃的时候, 不希望在运行时干扰整个测试动作, 仅需要收集一些测试信息.3. 问题在连接到debugger后无法重现. 简单来说, 就是你希望在对环境影响最小的前提下, 抓取尽可能多的信息. 为了满转载 2016-04-01 10:05:06 · 5336 阅读 · 1 评论 -
记一次看DUMP的实战
命令:.sympath srv*d:\symcache*\\symbols\symbols解释:The .sympath command changes the default path of the host debugger for symbol search. 命令:.reload /f ntdll.dll解释:The .rel转载 2016-04-01 10:05:51 · 288 阅读 · 0 评论 -
在WinDBG中, 使用.shell命令来搜索字符串
对于我来说, 使用WinDGB时最有用的命令之一就是.shell命令了. Debugging Tools For Windows帮助文件说:.shell命令能加载一个shell进程, 并重定向它的输出到debugger中, 或者重定向到一个指定的文件里. 那么为什么我觉得加载一个shell进程会对日常工作有帮助呢? 加载shell进程最简单最常用的功能就转载 2016-04-01 10:06:28 · 567 阅读 · 0 评论 -
一些关于帮助初学者分析dump的链接
Common WinDbg Commands (Thematically Grouped)http://windbg.info/doc/1-common-cmds.html Getting started with WinDbg and Sos.dllhttp://rynsim.spaces.live.com/blog/cns!1DA5A63F849536B6!6转载 2016-04-01 10:07:49 · 234 阅读 · 0 评论 -
什么是符号文件?
在构建应用程序, 库, 驱动程序或者操作系统是, 编译器和链接器会在创建.exe, .dll, .sys以及其他可执行文件(也被称为二进制文件或者映像)的同时, 还会创建一定数量的附加文件, 这些文件也被称为符号文件(Symbol File). 从Windows Xp和Windows Server 2003开始, 符号文件只使用PDB格式. 符号文件通常包含以下内容转载 2016-04-01 10:08:41 · 3141 阅读 · 0 评论 -
WinDBG命令概览(中) - 元命令
元命令(Meta-Command)用来提供标准命令没有提供的常用调试功能, 与标准命令一样, 元命令也是内建在调试器引擎或者WinDBG程序文件中的. 所有元命令都已一个点(.)开始, 所以元命令也被称为点命令(Dot Command). 按照功能, 可以把元命令分成如下几类.显示和设置调试会话和调试器选项.用于符号选项的.symopt- Set Symbol Op转载 2016-04-01 10:02:31 · 675 阅读 · 0 评论 -
WinDBG命令概览(上) - 标准命令
WinDBG的大多数功能是以命令方式工作的, 本系列将介绍WinDBG的三类命令, 标准命令, 元命令和扩展命令. 标准命令===============标准命令用来提供适用于所有调试目标的基本调试功能.所有基本命令都是实现在WinDBG内部的, 执行这些命令时不需要加载任何扩展模块. 大多数标准命令是一两个字符或者符号, 只有version等少数命令除外.转载 2016-04-01 10:01:58 · 393 阅读 · 0 评论 -
Crash dump中需要重点关注的信息
Crash都是发生在某一函数中, 而95%的crash都是由下面两种情况中的一种导致的:发生crash的函数获得了错误的参数.发生crash的函数使用了损坏了的内部数据.代码的执行过程是对数据进行变化的过程. 对同一段代码, 在相同环境下, 如果使用的数据都相同, 那么执行的结果肯定是唯一的. 如果函数发生崩溃, 那么肯定是使用到的数据跟理想情况有差别. 函数使用的数据来源: 一是转载 2016-04-01 10:00:27 · 290 阅读 · 0 评论 -
WinDbg学习笔记(二)--字符串访问断点
标 题: 【原创】WinDbg学习笔记(二)--字符串访问断点作 者: gaorqing时 间: 2009-07-25,21:39:04链 接: http://bbs.pediy.com/showthread.php?t=94326WinDbg学习笔记(二)--字符串访问断点一、前言 本文是我自己学习WinDbg的过程,因为目标是逆向分析一个驱动文件,但现在对驱动转载 2016-03-31 20:41:59 · 766 阅读 · 0 评论 -
windows程序员进阶系列:《软件调试》之O--- WinDbg使用介绍
拥有一个顺手的武器是每一个武林高手梦寐以求的。对于windows程序员来说,WinDbg调试器就是我们的武器。熟练使用调试器能大大提高我们的调试能力。本博文将详细介绍涉及到WinDbg调试器的基本使用方法以及在实际调试过程中经常使用到得各种命令和技巧。 WinDbg是一个功能非常强大的调试器。它支持多种调试任务,如用户态调试、内核态调试、转储文件调试和远程调试。与此转载 2016-03-31 20:44:00 · 964 阅读 · 0 评论 -
WinDbg学习笔记(转)
最近项目老大要求我在windows登录过程中嵌入智能卡登录验证,需要对gina.dll动手术。花了3天学习消化几个巨人的代码,站在他们的肩膀上,到现在能够显示自己的登录对话框,能够验证用户名密码并登录成功。但在其后调用WlxStartApplication()时失败, GetLastError()返回0。这下没辙了,仅凭简单的MessageBox无法有效的调试。Microsoft的网站上提供了一个转载 2016-03-31 20:55:23 · 440 阅读 · 0 评论 -
中文windbg帮助文档
http://www.dbgtech.net/翻译文档WinDbg 帮助中文翻译 (强烈推荐)博客 (原创技术文章)论坛 (欢迎进论坛讨论技术问题)原创软件WinDbg 6.9.3汉化版三个字符串内码工具LiveDump - 本机动态生成完整内核 dump 文件VistaLKD - 动态开启 vista 系统本机内核调试功能转载 2016-03-31 20:56:01 · 2260 阅读 · 1 评论 -
WinDbg入门教程
版权声明:本文为博主原创文章,未经博主允许不得转载。目录(?)[-]WinDbg 入门教程介绍调试器一览调试器之间的比较WinDbgPDB文件调试场景远程调试即时调试64位调试托管应用程序的调试调试Windows服务调试异常WinDbg的功能调试器扩展DLL内存转储文件崩溃转储分析WinDbg的常用设置符号文件与文件夹源代码路转载 2016-03-31 20:57:09 · 368 阅读 · 0 评论 -
通往WinDbg的捷径
原文:http://www.debuginfo.com/articles/easywindbg.html译者:arhat时间:2006年4月13日关键词:CDB WinDbg 导言你钟情什么样的调试器?如果你问我这个问题,我会回答是“Visual Studio + WinDbg”。我比较喜欢Visual Studio那朴实无华且易操作的接口,更喜欢它能迅速把我需要的信息以可转载 2016-03-31 20:59:43 · 517 阅读 · 0 评论 -
伪寄存器
from:http://www.cnblogs.com/awpatp/archive/2011/01/01/1923726.html许多寄存器的名字取决于处理器的架构, 因此对于那些偶尔使用调试器的用户来说很难记住所有平台上的寄存器名字. 为了克服这个问题, 调试器的开发团队引入了各种伪寄存器(Pseudo-Register), 由调试器将这些伪寄存器对应到不同的硬件架构上.转载 2016-04-01 09:48:52 · 593 阅读 · 0 评论 -
通过简单Dump能获得的基本信息
http://www.cnblogs.com/awpatp/archive/2009/12/06/1618162.html如果有出错程序的dump, 哪怕dump不是在合适的时机获取的, 也可以分析出有用的信息.通过vertarget查看系统版本和系统运行了多长时间.通过!peb查看环境变量的情况. 由于很多第三方软件都习惯把自身路径添加到环境变量中, 所以这里很多时候可以看出转载 2016-04-01 09:58:10 · 350 阅读 · 0 评论 -
如何使用符号文件?
几乎每个命令都会直接或者间接地使用符号信息. 进行符号检查的命令却不多. 查看符号的命令是x, 这个字符表示"查看符号". 语法如下所示:0.00>x [options] module!symbols module和symbols都可以包含通配符. 在调试陌生代码时, 通配符是一种功能强大的工具, 因为它使我们在阅读代码之前能够猜测函数的名字或者全局变量转载 2016-04-01 10:09:51 · 391 阅读 · 0 评论