?　　           显示常规命令

? /D            通过 DML(Debugging Markup Language) 方式显示常规命令

.help     　　 显示 . 系列命令

.help /D       通过 DML 方式显示 . 系列命令

.help /D a*   通过 DML 方式显示所有以 'a' 字母开头的 . 系列命令

.chain          列出所有已加载的调试器扩展

.chain /D      通过 DML 方式列出所有已加载的调试器扩展

.extmatch /e ExtDLL FunctionFilter      显示调试器扩展的所有导出函数

.extmatch /D /e ExtDLL FunctionFilter  通过 DML 方式显示调试器扩展所有导出函数

.extmatch /D /e uext *                       显示 uext 扩展中的所有导出函数

.hh         打开 WinDbg 的帮助文件

.hh Text  打开 WinDbg 的帮助文件，并自动搜索 Text 的内容

.hh dt     在 WinDbg 帮助文件中搜索 dt 命令

.attach PID 附加到指定ID的进程

.detach      结束调试会话，被调试进程仍可继续运行

q               结束调试会话，同时终止被调试进程的进行

qq             结束调试会话，同时终止被调试进程的进行

.restart      重启被调试应用

显示调试器版本信息和已加载的调试器扩展

显示调试器启动文件的路径

显示目标机器的版本

打开或关闭 Verbose 模式开关，某些命令在此模式下可以给出更多详细信息

.formats Expression  显示数字的各种格式信息

.formats 5

清理屏幕

.effmach 显示有效作用的机器信息
.effmach .
.effmach #
.effmach x86 | amd64 | ia64 | ebc

显示系统记录的各种时间

.echo String  输出字符串

.echo "String"

.echo "Hello World"

ld ModuleName  加载指定模块的符号

ld *                  加载所有模块的符号

!sym                获取符号加载状态

!sym noisy       让调试器显示符号搜索详细信息

!sym quiet        默认项，不显示符号搜索信息

.sympath         显示和设置符号搜索路径

.sympath+       增加符号搜索路径

.sympath+ C:\Symbols

.symopt            显示当前符号可选项

.symopt+ Flags  添加符号可选项

.symopt- Flags   移除符号可选项

.symfix                           设置符号库路径

.sym+ DownstreamStore  添加符号库路径

x [Options] Module!Symbol    模式匹配符号信息

x /t ..            根据数据类型匹配

x /v ..            显示详细信息

x /a ..            按照地址排序

x /n ..            按照名称排序

x /z ..            按照大小排序

x *!               列出所有模块

x ntdll!*          列出 ntdll 模块

x /t /v ntdll!*    列出 ntdll 模块数据类型和符号类型

.reload                            重新加载符号信息

.reload [/f | /v]                /f 强制立即加载符号 /v 显示详细信息

.reload [/f | /v] Module     Module 为指定模块加载符号信息

.reload /f @"ntdll.dll"

.reload /f @"C:\WINNT\System32\verifier.dll"

lm[ v | l | k | u | f ] [m Pattern] 显示已加载的模块

lm   显示所有加载和未加载的模块信息

lmv 显示已加载模块的详细信息

lml  同时显示加载的符号信息

lmk 显示内核模块信息

lmu 显示用户模块信息

lmf  显示镜像路径

lmm 匹配模块名称

lmD 使用 DML 方式显示

lmv m kernel32 显示 kernel32 模块详细信息

!dlls         列出所有加载的模块和加载数量

!dlls -i      根据初始化顺序

!dlls -l      根据加载顺序（默认项）

!dlls -m    根据内存顺序

!dlls -v     显示更多详细信息

!dlls -c ModuleAddr  仅显示 ModuleAddr 地址的模块信息

!dlls -?     显示帮助

!dlls -v -c kernel32 显示 kernel32.dll 的信息

!lmi Module    显示模块的详细信息，包括加载符号信息

!lmi kernel32  显示 kernel32.dll 模块的信息

!analyze -v       显示当前异常的详细信息

!analyze -hang  诊断线程调用栈上是否有任何线程阻塞了其他线程

!analyze -f        查看异常分析信息，尽管调试器并未诊断出异常

通过 DML 方式显示当前进程的信息

显示当前所有进程

~                              显示线程信息

~* [Command]           所有线程

~. [Command]            当前线程

~# [Command]           引发当前事件或异常的线程

~Number [Command]  显示指定序号的线程

~~[TID] [Command]   显示指定线程ID的线程

~Ns                          切换到线程 N

~* k  显示所有线程的调用栈

~2 f   冻结2号线程

~# f  冻结引发异常的线程

~3 u  解除对3号线程的冻结

~2 k  显示2号线程的调用栈

~* e CommandString            在所有线程上执行命令

~. e CommandString             在当前线程上执行命令

~# e CommandString            在引发异常的线程上执行命令

~Number e CommandString   在指定序号的线程上执行命令

~2e r; k; kd  相当于 ~2r; ~2k; ~2kd

~*e !gle       显示所有线程的最后一个错误信息

~Thread f    冻结线程

~Thread u   解除冻结线程

~Thread n   挂起线程，增加线程挂起数量

~Thread m  恢复线程，减少线程挂起数量

显示线程环境信息

!tls -1          -1 为显示当前线程所有的 slot 信息

!tls SlotIdx   显示指定的 slot 信息

!tls [-1 | SlotIdx] TebAddr

显示线程时间信息

[Flags: 0 | 1 | 2] 显示每个线程消耗的时间，用于快速的查找 CPU 时间消耗最多的线程

0 用户态时间

1 内核态时间

2 自线程创建起的时间间隔

!gle         显示当前线程的最后错误

!gle -all    显示所有线程的最后错误

!error ErrValue      解析错误信息

!error ErrValue 1   将错误值作为 NTSTATUS 代码

k [n] [f] [L] [#Frames]  显示调用栈信息

kn      调用栈包含帧号

kf       临近帧的距离

kL       忽略源代码

kb ...  最开始的 3 参数

kp ...  所有的参数，包括参数类型、名称和值

kP ...  所有的参数

kv ...  FPO信息

kb 5   显示最开始的 5 个帧

kd [WordCnt]  显示原始栈数据和可能的符号信息

使用 DML 格式显示堆栈信息

设置栈长度，默认是20（0x14）

.frame            显示当前帧

.frame #         指定帧号

.frame /r [#]   显示寄存器信息

.frame 2         显示帧号 2 的信息

.frame /r 0d    显示 0 帧中寄存器信息

!uniqstack                   显示所有线程的栈信息

!uniqstack [b|v|p] [n]   b=前3个参数；v=FPO信息；p=所有参数；n=帧号

!uniqstack -?               显示帮助

!findstack Symbol              找到包含符号或模块的栈

!findstack Symbol [0|1|2]   0=仅显示线程ID；1=线程ID和帧；2=全部的线程栈；

!findstack -?                      显示帮助

!findstack clr 2                   显示包含 clr 的所有栈的信息

!Ext.help

常规扩展命令帮助

!Exts.help

!Uext.help

用户态模式扩展命令帮助

!Ntsdexts.help

用户态扩展命令帮助（OS相关）

!logexts.help

日志相关扩展

!clr10\sos.help

!wow64exts.help

!Wdfkd.help

!Gdikdx.help

!NAME.help

!logexts.help

!loge

!loge [dir]  打开日志功能，可选配置输出目录

!logi

!logd

!logo

!logo                    列出日志配置信息

!logo [e|d] [d|t|v]  打开或关闭日志，d=调试器，t=文本文件，v=详细信息

!logc

!logc                        列出所有日志类型

!logc p #                  列出 # 中的日志类型

!logc [e|d] *              打开或关闭所有日志类型

!logc [e|d] # [#] [#]  打开或关闭日志类型 #

!logb

!logb p  打印缓冲区信息至调试器

!logb f   刷新缓冲区内容之日志文件

!logm

!logm                          显示模块的包含或屏蔽列表

!logm [i|x] [DLL] [DLL]  指定模块的包含或屏蔽列表