-
帮助命令
.hh命令
输入该命令,可以打开Windbg的帮助命令,如图
-
命令分类
windbg有标准命令,元命令,扩展命令,这些命令都不区分大小写
标准命令:包含最基本的功能,比如 lm 显示模块列表,k显示堆栈,r 查询或修改寄存器
元命令:常见的.sympath, 如.sysmpath +C:\pdb表示增加符号目录C:\pdb,.datch 附加调试器后,分离出来,让进程继续执行。.reload /i 或者.reload /f。.reload /i可以忽略时间戳的不匹配,强制加载,建议用这个命令。
扩展命令:如!sym noisy 符号加载混杂模式,开启后,再次使用.reload加载pdb的时候,可以看到调试器具体去什么路径加载pdb,如果发现路径不存在,我们可以手动创建目录,再次.reload。如!analyze -v。自动分析崩溃信息。
2.常用的命令
~*kvn
列出所有线程的堆栈,如下图:
红色部分为线程号,我们可以切换到具体的线程,比如切换到15号线程,~15s,切换到14号线程 ~14s。下面输入~15s;kb (分号表示连续执行,可以组合多条命令)
r 命令
可以查看函数传参,32位程序我们可以通过kb直接看到,64位程序在windows fastcall下,前面4个参数依次使用rcx,rdx,r8,r9传参,第5个等结合rsp传参。
3.
死锁分析
高CPU分析
内存泄露分析
扫一扫
747
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
