windbg 常用命令

WinDbg内核调试常用命令(2)接上一章继续介绍内核调试下的常用命令，这一章主要涉及内存相关、对象相关、驱动设备相关以及蓝屏Dump 相关命令。

介绍每个命令的主要作用，以及常用方式，不会涉及详细的命令参数，目的是能快速上手熟悉内核调试下的常用操作，而不是替代帮助文件。

内存相关内存操作应该是调试最常用的，比如查看内存、修改内存等。

本节介绍内核模式下常用的内存操作命令，大部分是内核模式下特有的命令，诸如db/eb/dt/s等基本内存命令则不会介绍。

!address!address命令显示内存信息，如内存范围、内存权限等。

这条命令在用户模式下也能用，而且显示的信息比较丰富。

!address命令不带参数时，显示所有内存信息。

kd>!address80800000-0026b000Usage KernelSpaceUsageImageImageName ntoskrnl.exe80a6b000-0001f000Usage KernelSpaceUsageImageImageName halacpi.dll......f51d9000-00005000Usage KernelSpaceUsageKernelStackKernelStack81827020:340.7ac......f894f000-00002000Usage KernelSpaceUsageImageImageName swenum.sysf8951000-00256000Usage KernelSpaceUsageNonPagedSystemf8ba8000-07038000Usage KernelSpaceUsageNonPagedPoolExpansionUsage表示内存用途，如内核映像、非分页内存、内核栈、会话空间等。

通过Usage就能大概了解某段内存的使用情况，也为进一步分析内存指明了方向。

!address xxxxxxxx显示指定地址的内存信息。

Windbg 使用简明指南2014/2/26 19:55:45第一章1.1. 环境配置准备_NT_DEBUGGER_EXTENSION_PATH=C:\WINDOWS\\Frame work\v2.0.50727 _NT_SYMBOL_PATH=SRV*c:\Symbols*/download/s ymbolsPath add: C:\WINDOWS\\Framework\v2.0.50727 C:\Program Files\Debugging Tools for Windows (x86)1.2 .Net CLR 知识第二章序号 命令 1. .chain 1. 解释常用命令显示有哪些调试扩展。

.load DLLName 加载调试扩展。

DLLName 要是全路径名，包括”.dll” !DLLName.load 1. .loadby DLLNam 加载调试扩展。

DLLName 是短文件名，不包括”.dll”。

e ModuleName ModuleName 是调试进程中的模块名，表示通过它所在的 路径查找 DLLName。

1. .unload DLLNam 卸载调试扩展。

e !DLLName.unloa d 1. .setdll DLLNam 设置缺省的调试扩展。

e !DLLName.setdl l 1. ![ext.]address 显示 VM 的分配状况 1. ![sos.]vmmap 1. ![uext.]vadump 输出虚拟地址映射信息 1. ![uext.]vprot 显示给出的虚拟地址所在内存的映射信息。

address 1. .logfle 1. .logopen .logappend 1. .logclose 1. dt 1. ![ntsdexts.]he 察看 Win32 堆的运行状况。

ap 0 0 1. ![ext.]dlls 1. ![sos.]threads 可以列出所有的托管线程，并在栈顶给出异常对象的地 址。

windbg 函数引用指令
Windbg是一款功能强大的Windows调试器工具，它可以用于分
析Windows操作系统和应用程序的崩溃、性能问题和其他调试需求。

在Windbg中，函数引用和指令是调试过程中经常用到的重要概念。

函数引用指的是在程序中调用其他函数的地方。

在Windbg中，
我们可以使用命令`x`来查看内存中的函数引用。

例如，使用`x module!function`可以查看特定模块中对函数的引用。

这对于分析
程序的调用关系和调试函数调用问题非常有帮助。

指令则是程序中的计算机指令，它们是程序的基本构成单元。

在Windbg中，我们可以使用`u`命令来反汇编指定地址处的指令，
以便分析程序的执行流程和代码逻辑。

另外，使用`t`命令可以单步
执行程序，并查看每条指令的执行情况。

除了以上提到的命令，Windbg还提供了丰富的调试命令和扩展，可以帮助我们深入分析程序的运行情况和解决各种调试问题。

在使
用Windbg进行函数引用和指令级别的调试时，我们需要结合程序的
符号信息和源代码，以便更好地理解程序的行为和排查问题。

总之，Windbg在函数引用和指令级别的调试方面提供了丰富的功能和命令，能够帮助开发人员深入分析程序的内部运行情况，解决各种复杂的调试问题。

通过结合实际的调试案例和丰富的调试经验，开发人员可以更好地利用Windbg进行函数引用和指令级别的调试工作。

WinDBG调试命令⼤全转载收藏于：#调试命令窗⼝+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++#使⽤gflags.exe⼯具（在windbg所在⽬录下），让某个进程启动时，拉取windbg进⾏调试如下截图：当名称为captcomm.exe的进程启动时，拉起windbg调试也可通过脚本命令来实现：// 运⾏captcomm.exe时，启动windbg调试reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\captcomm.exe" /v Debugger /t REG_SZ /d "C:\Program Files\Debugging Tools for Windows (x86)\windbg.exe" /f// 解除启动时windbg调试reg delete"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\captcomm.exe" /f// 64位系统上，也可以设置以下注册表节点reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\captcomm.exe" /v Debugger /t REG_SZ /d "C:\Program Files\Debugging Tools for Windows (x86)\windbg.exe" /f// 解除启动时windbg调试reg delete"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\captcomm.exe" /f// 测试发现：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options和HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options指向的是同⼀数据，修改其中任何⼀安全软件可能会禁⽌修改注册表的Image File Execution项：-- 对于360安全卫⼠，在“设置”中去掉“开启360⾃我保护”的勾选来关闭-- 对于McAfee，需要禁⽌IPS（Intrusion Prevension Systems）。

windbg使用方法Windbg是一款由Microsoft开发的强大的调试工具，它可以帮助开发人员诊断和解决Windows平台上的各种软件问题。

本文将介绍Windbg的基本使用方法，希望能够帮助读者更好地利用这一工具进行调试和分析。

首先，我们需要下载并安装Windbg工具。

可以在Microsoft官方网站上找到Windbg的安装包，并按照提示进行安装。

安装完成后，我们可以在开始菜单或者桌面上找到Windbg的快捷方式，双击打开即可进入工具界面。

在使用Windbg进行调试之前，我们需要先了解一些基本概念和操作。

首先是符号文件的设置，符号文件包含了程序中各个函数和变量的调试信息，可以帮助我们更好地进行调试。

在Windbg中，可以通过设置符号路径和加载符号文件来进行符号文件的管理。

接着是源代码的设置，如果我们有程序的源代码，可以通过设置源代码路径来进行源代码级别的调试。

最后是调试目标的设置，可以通过Attach或者Open Crash Dump来加载需要调试的程序。

接下来，我们来看一下Windbg的一些常用命令和功能。

在Windbg的命令行窗口中，可以输入各种命令来进行调试操作，比如设置断点、查看变量的值、跟踪函数的调用等。

此外，Windbg还提供了丰富的图形化界面，可以通过菜单栏和工具栏来进行各种调试操作，比如查看内存、查看寄存器、查看线程信息等。

除了基本的调试功能，Windbg还提供了一些高级的调试工具和扩展，比如分析内存泄漏、分析崩溃转储、分析性能问题等。

通过这些工具和扩展，我们可以更深入地了解程序的运行情况，找出潜在的问题并加以解决。

在使用Windbg进行调试的过程中，我们可能会遇到各种各样的问题和挑战，比如调试信息不够详细、调试速度太慢、调试过程中出现崩溃等。

针对这些问题，我们可以通过调整符号文件的设置、优化调试环境、使用合适的调试工具等方式来进行解决。

总的来说，Windbg是一款功能强大的调试工具，可以帮助我们更好地进行程序调试和分析。

调试程序WindbgWinDbg是微软开发的免费源码级图形界面调试工具，可以调试Win32应用程序，服务器应用程序调试和Kernel模式驱动调试。

本文介绍Windbg在调试Win32应用程序时的常用命令。

1、Windbg的启动Windbg可以从命令行启动，启动命令格式为：windbg [-a] [-g] [-h] [-i] [-k [platform port speed]] [-l[text]] [-m] [-p id [-e event]] [-s[pipe]] [-v] [-w name] [-y path][-z crashfile] [filename[.ext] [arguments]]在WindowsXP/2000操作系统下，可以直接双击Windbg图标启动。

2、打开应用程序被调试的应用程序在汇编和连接时应加入调试信息。

汇编时使用参数/Zi；连接程序使用参数/debug。

开始调试一个应用程序时，首先选择File菜单下的Open Executable命令，在对话框中选择可执行文件。

出现Command 窗口，点击工具栏按钮后，在Command 窗口中显示一组信息，再次点击按钮后，在Command 窗口后出现Source窗口。

3、显示存储单元显示存储单元的按钮是。

点击该按钮后，出现对话框在Address Expression编辑框中填入要察看的地址信息。

地址信息有两种常用的输入方式：（1）指定内存单元地址例如：在Address Expression 中填入0x0040103f，点击按钮OK后出现指定地址开始的内存单元的内容：其中0x0040103F至0x004010BF是Windbg显示以十六进制表示的单元地址，中间用十六进制表示每个字节，右边用ASClI字符表示每个字节。

（2）通过变量名表示例如：在Address Expression 中填入&b_var1，点击按钮OK后出现b_var1开始的内存单元的内容：其中0x00404000地址是变量b_var1所在的单元。

如何手工抓‎取dump‎文件在生‎产环境下进‎行故障诊断‎时，为了不‎终止正在运‎行的服务或‎应用程序，‎有两种方式‎可以对正在‎运行的服务‎或应用程序‎的进程进行‎分析和调试‎。

首先‎一种比较直‎观简洁的方‎式就是用W‎i nDbg‎等调试器直‎接atta‎c h到需要‎调试的进程‎，调试完毕‎之后再de‎t ach即‎可。

但是这‎种方式有个‎缺点就是执‎行debu‎g ger命‎令时必须先‎b reak‎这个进程，‎执行完de‎b ug命令‎之后又得赶‎紧F5让他‎继续运行，‎因为被你b‎r eak住‎的时候意味‎着整个进程‎也已经被你‎挂起。

另外‎也经常会由‎于Firs‎tCha‎n ce E‎x cetp‎i on而自‎动brea‎k，你得时‎刻留意避免‎长时间br‎e ak整个‎进程。

所以‎这样的调试‎方式对时间‎是个很大的‎考验，往往‎没有充裕的‎时间来做仔‎细分析。

‎另一种方‎式则是在出‎现问题的时‎候，比如C‎P U持续长‎时间100‎%，内存突‎然暴涨等非‎正常情况下‎，通过对服‎务进程sn‎a psho‎t抓取一个‎d ump文‎件，完成d‎u mp之后‎先deat‎c h，让进‎程继续运行‎。

然后用w‎i ndbg‎等工具来分‎析这个抓取‎到的dum‎p文件。

‎那么如何‎在不终止进‎程的情况下‎抓取dum‎p文件呢？‎D ebug‎g ing ‎T ools‎for ‎W indo‎w s 里提供‎了一个非常‎好的工具，‎a dplu‎s.vbs‎。

从名字可‎以看出，实‎际上是一个‎v b脚本，‎只是对cd‎b调试器作‎的一个包装‎脚本。

‎其路径与D‎e bugg‎i ng T‎o ols ‎f or W‎i ndow‎s的安装路‎径相同，使‎用的方法也‎很简单，如‎下所示:‎adpl‎u s.vb‎s -ha‎n g -p‎1234‎-o d‎:\dum‎p其中‎-hang‎指明使用h‎a ng模式‎，亦即在进‎程运行过程‎中附加上去‎s naps‎h ot抓取‎一个dum‎p文件，完‎成之后de‎t ach。