windbg是在windows平台下强大的用户态和内核态调试工具。相比较于Visual Studio,它是一个轻量级的调试工具,但是其调试功能,却比VS更为强大。软件具有很好的灵活性和可扩展性,提供了130多条标准命令,140多条元命令和难以计数的扩展命令。可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件,能够通过dmp文件轻松的定位到问题根源,可用于分析蓝屏、程序崩溃(IE崩溃)原因,是我们日常工作中必不可少的一个有力工具,学会使用它,将有效提升我们的问题解决效率和准确率。
软件配置
1、打开软件,首先我们需要设置symbol文件(这些文件通常包含全局变量,局部变量等信息。在调试不同的系统的时候,用到的symbol是不同的),选择file—Symbol File Path(或者按【Ctrl+S】弹出symbol设置窗)添加symbol文件地址:SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols,点击确定即可。
注意:符号表是软件关键的“数据库”,如果没有它,软件基本上就是个废物,所以使用软件设置符号表,是必须要走的一步。
2、在正确设置了symbol路径后,我们就可以打开dump文件时行分析了,view菜单下面有详细的列表,可以调出对应的窗口,默认的打开窗口是command窗口。
使用教程
1、本站提供32位和64位软件下载,建议全部安装。用32位的软件调试32位程序,用64位调试64位程序
2、配置完成后,以64位软件为例。选择文件(File)菜单》附加到一个进程
3、在打开的列表中选择你要调试的进程
4、附加后会显示如图所示就可以了
软件命令
虽然软件是一个典型的GUI应用程序,但是它的
大多数调试功能还是以手工输入命令的方式来工作的。其命令大致可分为三种:标准命令、元命令和扩展命令。
1、标准命令:提供适用于所有调试目标的基本调试功能。
标准命令在调试器内部实现,执行时不需要加载任何扩展模块。标准命令第一个字符不区分大小写,后面的字符可能区分大小写。共有130多条命令,分为60多个系列18个子类:(1):控制调试目标执行,包括恢复运行的g系列命令。跟踪执行的t系列命令。单步执行的p系列命令和跟踪监视的wt命令。
(2):观察和修改寄存器的r系列命令。
(3):读写IO端口命令。
(4):观察、修改和搜索内存数据的d系列、e系列和s命令。
(5):观察栈的k系列命令。
(6):显示进程的|(非l)命令。
(7):显示和控制线程的~命令。
(8):设置和维护断点的bp(软件断点),ba(硬件断点)和管理断点的bl(列出所有断点),bc,bd,be(清除,禁用和重新启用断点)命令。
(9):评估表达式的?命令和评估C++表达式的??命令。
(10):用于汇编的a命令和反汇编的u命令。
(11):显示段选择子的dg命令。
(12):执行命令文件的$命令。
(13):设置调试事件处理方式的sx系列命令,启用与禁止静默模式的sq命令,设置内核选项的so命令,设置符号后缀的ss命令。
(14):显示调试器和调试目标版本的version命令。显示调试目标所在系统信息的vertarget命令。
(15):检查符号的x命令。
(16):控制和显示源程序的ls系列命令。
(17):加载调试符号的ld系列命令。搜索相邻符号的ln命令。 显示模块列表的lm命令。
(18):结束调试会话的q命令。
在命令编辑框中输入?,可以显示主要标准命令和每个命令的简单介绍。
2、基本调试命令:
r 可以显示系统崩溃时的寄存器,和最后的命令状态。
dd 显示当前内存地址,dd 参数:显示参数处的内存。
u 可以显示反汇编的指令
!analyze -v 显示分析的详细信息。
kb 显示call stack 内容
kv.bugcheck 可以显示出错的代码
3、元命令
元命令用于提供标准命令没有提供的常用调试命令,元命令也是内建在调试器引擎或软件程序文件中。所有元命令都是以.开始,所以元命令也被称为点命令。
4、扩展命令
扩展命令用于实现针对特定目标的调试功能。与标准命令和元命令内建在软件程序文件中不同,扩展命令是是现在动态加载的扩展模块dll中。利用软件的sdk,用户可以自己编写扩展模块和扩展命令。
执行扩展命令时应该以感叹号!开始。!在英语中为bang。因此扩展命令也被称为bang command。
执行扩展命令的完整格式为:!nameofExtentModule.nameofExtentCommand 参数
其中nameofExternModule可以省略。省略后,软件会在已加载的扩展模块中搜索指定的命令。如果此模块没有加载,则将模块加载。
0条评论