windbg命令学习1

时间:2022-01-09 00:41:20

一、windbg 常用知识:

1. Windbg中的调试命令,分为三种:基本命令,元命令和扩展命令。基本命令和元命令是调试器自带的,元命令总是以“.”开头,而扩展命令是外部加入的,总是以感叹号“!”开头

基本命令最少了,大概40个左右。列举所有的基本命令,使用如下命令:

  • ?

元命令有一百多个,使用下面命令列举所有元命令:

  • .help  [/D]

小技巧:

标准命令帮助

?

? /D

元命令帮助

.help

.help /D 
.help /D a*

扩展命令帮助

!help

!help savemodule

在命令行中开启WinDBG的chm帮助

.hh

.hh lm

2. 基本信息

  • version    显示操作系统的版本信息以及Windbg本身的版本信息,Windbg的配置和操作系统密切相关,所以将操作系统的版本信息一并显示出来是很有必要的。
  • time   查看系统时间。这包括系统当前时间,以及系统正常运行持续时间;用户模式下还会显示当前进程的持续时间  

3.  基本设置

  • .cls  清屏命令
  • n [8|10|16]   软件默认是16进制,但有时候我们也需要把默认进制改成八进制或十进制的

4. 开始调试

  q | qq | qd  彻底结束调试

  .dump  /mfh   C:\test.dmp  保存成dmp文件

二、符号与源码

什么是符号文件呢?编译器和链接器在创建二进制镜像文件(诸如exe、dll、sys)时,伴生的后缀名为.dbg、.sym或.pdb的包含镜像文件编译、链接过程中生成的符号信息的文件称为符号文件。具体来说,符号信息包括如下内容:

  • 全局变量(类型、名称、地址);
  • 局部变量(类型、名称、地址);
  • 函数(名称、原型、地址);
  • 变量、结构体类型定义;

1. 有几个命令可以用来列举模块列表

  • lm [选项] [a Address] [m Pattern | M Pattern][/v]
  • lm v 使用/v选项能列出模块的详细信息,包括:模块名、模块地址、模块大小、镜像名、时间戳、以及对应的符号文件信息(包括类型、路径、类型、编译器、符号加载状态)。
  • lmD 显示所有模块详细信息

  lm v a 00400000    显示地址为00400000 模块的详细信息

  

  • !dh [标志] 模块地址

  dh是display header的缩写,直译就是“显示文件头”的意思,它能够显示非常详细的PE头信息。

2. 线程与进程

既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。

多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc。