Windbg简单介绍

1.1 使用帮助

Windbg中的命令分为三种：基本命令、元命令和扩展命令。基本命令和元命令都是调试器自带的，元命令以“ .”开头。
扩展命令是外部加入的，以“!”开头。

.help [/D]

查询所有的元命令. 参数/D 以DML格式显示

?

查询基本命令

扩展命令是从动态链接库中暴露出来的，一般以DLL文件名代表一类扩展命令集。

.chain [/D]

列出扩展命令集的链表

[图片chain]

windbg自带的扩展模块:dbghelp、ext、wow64exts、exts、uext、ntsdexts。

!模块.help

查询模块中的命令

1.2 DML

DML(Debugger Markup Language调试标记语言)像HTML一样，可从一处链接到一处。

.dml_start

显示DML格式帮助文档

[图片dml_start]

.prefer_dml 1 默认开启DML

.prefer_dml 0 默认关闭DML

1.3 基本信息

version 显示操作系统的版本信息及Windbg本身的版本信息

| 列出可调试对象的列表

在多个对象间切换可以使用| 编号 s

.time 查询时间

1.4 基本设置

.cls 清屏命令

n [8|10|16] 默认使用16进制

? <expr> 显示表达式

.effmach [x86|adm64|ia64|ebc] 设置处理器模式，即有效的机器类型（Effective Machine Type）

####1.5 格式化显示

.formats 整数 将一个整数以各种格式显示

####1.6 开始调试

.attach PID 附加到指定进程

winddbg -p PID 通过windbg的启动参数进行附加

winddbg -pn 进程名 通过进行名进行附加

.create 程序启动命令行 创建一个指定的新的进程

windbg 程序启动命令行 创建一个指定的新的进程

.opendump 文件名 打开一个dump文件

.dump 文件名 生成一个dump文件

.detach 结束当前调试会话

q|qq|qd q是Quit的缩写。结束当前调试会话，并返回到最简单的工作空间，甚至把命令行界面也关闭掉。q和qq两个命令将结束（close）被调试的进程，qd不会关闭调试进程，而是进行解挂操作。

!runaway 显示当前进程中所有线程的消耗时间

~ 线程号 线程号是由调试器软件内部维护的线程ID值，是一个从0开始的整数，和线程ID不是一回事

SOS.dll中的命令

!dso 显示在当前栈范围内找到的所有托管对象。

!do 显示在指定地址上的一个对象的有关信息

!dumpmt [-md] <methodtable address> 显示在指定地址上的一个方法表的有关信息。指定 -md 选项显示列出该对象定义的所有方法。

每个托管对象包含有一个方法表指针。

参考

Windbg调试命令详解

巴特西