【WinDbg】常用窗口、内存符号命令、调试命令;常用流程,入口函数下断点。

最新推荐文章于 2022-08-27 17:29:06 发布
最新推荐文章于 2022-08-27 17:29:06 发布
阅读量384 收藏
点赞数
分类专栏: 学习笔记 文章标签: windbg windows调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44503157/article/details/123270472
版权

文章目录

usgae

  • 常用于直接调试可执行程序exe、attach 进程使用。

tips

常用窗口
  • 常用:command 、进程线程(勾选多进程调试)、调用堆栈、内存、local 变量、汇编
    在这里插入图片描述
内存
  • !peb :显示进程环境块(PEB, process enviroment blok)中信息的格式化视图
    • !teb :显示线程环境块(TEB, thread enviroment blok
  • !address 查看 整体内存布局 layout
  • d* :显示给定范围内的内存内容。(读内存)
    • du rcx 显示 寄存器rxc 指向内存的内容。(u为:Unicode 字符)
    • dt 查看相关变量、结构体
  • e :写内存
    • eb
符号
  • lm :查看模块及模块的符号加载情况
    • lm v,查看所有模块及一些详细信息
    • lm m somemodulename*,查看和指定名称匹配的模块
  • x [Options] Module!Symbol :查找对应模块中 匹配的符号
    • (x mymodule!*spin*,表示带 spin 的符号)
进程、线程
  • ~ 显示指定线程或当前进程中所有线程的状态
    • ~. 当前活动线程、~* 当前线程、~# 显示最初导导致异常的线程
    • ~ 2 s 切换到2号线程。
  • ||* 显示进程:(需要勾选了启用子进程调试, 否则只有一个进程)
    • |.活动进程 (前面带. 的就是当前进程)
      • | 1 s 表示设置1进程为活动进程。
    • .tlist*demo_ipc* :查看进程简要信息:进程号和进程名称。后面模糊查找

调试时,选择exe 后,勾选Debug child process also ,以便能查询到子进程。

  • | 查看进程后,|2 s 切换到对应2号子进程。
  • 亦或者使用 .childdbg 2 切换到对应2号子进程。
  • !process 扩展显示有关指定进程或所有进程(包括 EPROCESS 块)的信息。此扩展只能在内核模式调试期间使用。
调试相关
  • bp :在某个地址下断点。bp 0x7783FEB 也可以 bp MyApp!SomeFunction
    • bl(breakpoint list) 命令列出已存在的断点的信息
    • bc*(breakpoint clear) 命令在系统中移除先前设置的断点(* 为移除所有断点)
    • 可以通过对进程或线程下断点bp /p Eprocess Address bp /t Ethread Address (内核模式)
  • g (go) 继续执行。
    • g Address 跑到一次性断点处
    • gu 用于使调试目标执行完当前函数并且返回到调用者
  • r (register):打印当前寄存器。
  • k:打印当前线程的调用堆栈
    • ~findstack kernal32 查看所有线程的堆栈
  • u:命令显示指定的内存中的程序代码的反汇编
    • u rip 返回rip 指向的地址, rip 为返回指令指针 寄存器。
常用流程

  1. lm查看模块及模块的符号加载情况
    在这里插入图片描述

  2. 根据查看的主模块 查找入口函数地址x weblayer_shell!*wWinMain*
    在这里插入图片描述

  3. 根据查到的入口函数下断点。bp weblayer_shell!wWinMain (入口函数根据自己的make /gn来定)
    在这里插入图片描述

  4. 查看断点,并go 到断点 bl g
    在这里插入图片描述

参考

Docs - Windows 调试工具

怎么这么帅啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg常用命令列表
03-17
windbg常用命令列表,整理的不错,希望对你有用,忘了就看看
WinDbg常用命令详解
iiihacker 的 黑客编程 入侵和防御 专栏
11-30 3379
1、工作空间是以累积的形式打开的。 2、删除工作空间更快的方法是使用“Regedit”,在键目录 “//Registry//CurrentUser//Software//Microsoft//WinDbg”中将Workspace全部删掉。 3、可以通过导入注册表或者Open Workspace in File打开.WEW文件来使用默认的Theme(主题)——经过特殊定制的工作空间。
Windbg常用命令备忘
m0_46256056的博客
07-07 1997
Windbg常用命令备忘 windbg是一款微软推出的专业实用的源码调试工具软件。 1、符号表下载方法:使用命令下载对应的符号表symchk /r c:\windows\system32\k* /s SRV*c:\symbols\*https://msdl.microsoft.com/download/symbols,然后就能在c:\symbols目录下得到对应dll的符号表; 2、windbg调试windows内核的设置: (1)vmware设置,删除打印机,添加串口,命名为\.\pipe\comdbg
windbg 常用命令详解
热门推荐
chenyujing1234的专栏
07-13 8万+
一、 1、 !address eax 查看对应内存页的属性   2、 vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block     4、 lmvm 可以查看任意一个dll的详细信息 例如:我们查看cyusb.sys的信息 5.reload /!sym 加载符号文件 6、 l
Windbg常用命令总结
硕硕的博客
08-12 1083
Windbg常用命令总结 查看线程中的堆栈信息 a. ~打印出所有的线程信息 b. !teb命令查看线程控制块中的信息,如StatckBase: 01820000 c. dps 01820000则可以看到线程运行的StackTrace 或者使用如下命令: dds 0096a000 00970000 ; stackbase:0096a000 stacklimit:00970000 ...
windbg定位内存泄漏
yangzm的专栏
10-30 803
windbg调试代码中内存泄漏的方法,记录如下: 1. 运行:gflags -i testDlg.exe +ust (gflags -i testDlg.exe -ust) 2.设置windbg调试符号。 3.在windbg打开应用程序testDlg.exe 4.运行一段时间,关闭应用程序。 5.显示: testDlgDlg.cpp(241) : {455} normal block at 0x000000000498A9B0, 100 bytes long. Data: &lt...
Windbg 命令 (一)
wupeng4389151的博客
08-27 777
Windbg 命令
Windbg设置入口函数DriverEntry断点
faithzzf的专栏
11-18 2541
Windows驱动程序加载的入口函数为DriverEntry,通过调试函数,很容易可以找出驱动程序的派遣函数,接着可以调试分析自己感兴趣的IRP。但是,首先,需要在windbg中设置断点,使得驱动程序加载的时候可以执行单步调试。这里有2种办法可以尝试。      第一种方法,直接通过计算驱动程序的入口地址,下断点即可。比如有些第三方驱动程序,可能会动态加载或者卸载,但是很多时候,再次加载的时候
Windbg调试命令详解
12-28
Windbg调试命令详解 Windbg调试命令详解 Windbg调试命令详解 Windbg调试命令详解 Windbg调试命令详解 Windbg调试命令详解
windbg调试命令大全
02-21
windbg调试命令大全 Windbg是在windows平台下,强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,所谓轻量级指的是它的安装文件大小较小,但是其调试功能,却比VS更为强大。它的...
windbg调试工具安装和使用说明.doc
02-28
WinDbg是微软发布的一款源码级(source-level)调试工具,可以用于Kernel内核模式调试和用户模式调试,还可以调试Dump文件。...本文档主要介绍了WinDbg工具的安装和配置方法,以及WinDbg常用命令和使用说明。
Windbg命令学习5(!address和s和!vadump)
myveiw2006的专栏
01-22 1164
http://blog.csdn.net/hgy413/article/details/7562746
Windbg使用笔记
kernweak的博客
05-23 905
windbg使用教程,attach 的左下角非入侵式就是不能下断点。 应用层常用命令 ~* 显示当前活动进程 ~. 显示异常线程 ~X 显示第X个线程 ~X s 选择第X个线程 ~* kb 显示每个线程的栈 !runaway 线程执行时间排队 .attach pid 附加Pid .detach 释放 断点 管理断点命令(支持通配符比如 bc ...
windbg基本简单步骤
零点起步
11-08 629
源码 #include #include typedef struct _st{ int a; int b; }ST; int fun(int* p, const ST& s) { *p = s.a + s.b; return s.a } void main() { ST s; s.a = 3; s.b = 4; int ret =
WinDbg常用调试命令
BeanJoy的专栏
09-11 4263
如何用WinDbg调试就不说了,满大街就是。此文只记录些常用命令,不断补充,以备不时之需。只记录简单用法或命令名,具体用法查WinDbg的Debugging Help。   .reload:删除所有符号信息并重新加载需要的符号,一般用法“.reoad /f”。   !analyze:自动分析出异常信息,一般用法“!analyze -v”。   lm:列出加载的所有模块和每个
Windbg入门
dongjiwo6466的博客
08-10 780
注意:本文省略部分为:1.如何加载系统符号。2.如何开启双机调试。这两部分很重要的。 0×1 程序代码 为了整体掌握windbg调试流程。本文实例采用自己编写。好处是可以更为主动的熟悉windbg调试命令,更加直观的查看windbg的显示结果。 0×2 windbg调试入口 打开windbg,点击:File->Open Executable,选中编译好的exe文件。...
Windbg调试(使用方法)
qq_34754747的博客
03-31 6736
一、Windbg版本信息 Windbg分32位和64位版本,32位程序应使用32位Windbg调试,64位程序应64位Windbg调试。 若想使用64位的Windbg分析32位的程序, 使用如下命令进行CPU模式的切换: .load wow64exts;!sw //例如: 1.查看线程停在哪里 ~*kb;.load wow64exts;!sw; 二、Windbg调试程序步骤 1. F...
windbg基本知识和常用命令
忍冬的专栏
12-13 699
基本知识和常用命令 (1)    下载、安装及设置       Windbg下载地址http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx 通过命令设置:安装完后执行windbg –I将Windbg设置成默认调试器 手动设置注册表:其设置在注册表 HKEY_LOCAL_MACHINE\SOF
windbg显示特定进程虚拟地址的方法
享受开发,颠倒银河
07-03 1695
1 必须使用Livekd.exe启动
windbg 常用命令
最新发布
09-29
windbg 是一个强大的调试工具,用于分析和调试 Windows 操作系统和应用程序的崩溃、错误和性能问题。以下是一些常用windbg 命令: 1. `!analyze -v`:自动分析当前崩溃的堆栈和线程信息。 2. `lm`:列出模块信息,包括加载的 DLL、驱动程序等。 3. `bp`:设置断点。 4. `g`:启动程序并运行到下一个断点或异常。 5. `r`:查看和修改寄存器的值。 6. `k`:显示当前线程的堆栈跟踪。 7. `x`:执行内存内容的查找和显示。 8. `dt`:显示自定义类型的变量信息。 9. `lmf`:列出模块符号文件信息。 10. `!heap`:显示堆内存的使用情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值