Windbg的命令
前面介绍了Windbg的UI功能,也基本上能完成基本的调试任务,可是WinDBG主要是以命令方式工做的,这些命令在Command Window里输入。WinDBG共支持三类命令:标准命令、元命令和扩展命令。某些命令仅在实时调试中可用,其余命令仅在调试转储文件时可用。某些命令仅在用户模式调试期间可用,其余命令仅在内核模式调试期间可用。只有当目标在某些处理器上运行时,某些命令才可用。sass
1、标准命令安全
标准命令(standard command)用来提供适用于全部调试目标的基本调试功能.标准命令一般是一两个字符(version除外)或者符号,只有version等少数命令除外。标准命令的第一个字符是不分大小写的, 第二个字符可能区分大小写。全部标准命令都是实如今WinDBG内部的, 执行这些命令时不须要加载任何扩展模块。迄今为止, WinDBG调试器共实现了130多条标准命令, 分为60多个系列. 为了便于记忆, 能够根据功能将标准命令概括为以下18个子类。在命令编辑框中输入一个问号(?), 能够显示出主要的标准命令和每一个命令的简单介绍。服务器
- 控制调试目标执行
| 功能 | 命令 | 描述/助记 | 补充信息 |
| 恢复运行 | g | Go | ~123g, ~#g, ~*g |
| 跟踪执行 | t | Trace | |
| 单步执行 | p | Step | |
| 追踪监视 | wt | Trace and Watch Data |
- 寄存器相关
| 功能 | 命令 | 描述/助记 | 补充信息 |
| 观察和修改通用寄存器 | r | Registers | |
| 读写MSR寄存器 | rdmsr和wrmsr | Read MSR and Write MSR | |
| 设置寄存器显示掩码 | rm | Register Mask |
- IO端口读写
| 功能 | 命令 | 描述/助记 |
| 读IO端口 | ib, iw, id | Input from port (byte, word, double word) |
| 写IO端口 | ob, ow, od | Output to port (byte, word, double word) |
- 内存控制
| 功能 | 命令 | 描述/助记 | 补充信息 |
| 观察内存 | d系列 | Display Memory | d, da, db, dc, dd, dD, df, dp, dq, du, dw, dW, dyb, dyd |
| 编辑内存 | e系列 | Enter Values | e, ea, eb, ed, eD, ef, ep, eq, eu, ew, eza, ezu |
| 搜索内存 | s | Search Memory | sb, sw, sd, sq, sa, su |
- 栈
| 功能 | 命令 | 描述/助记 | 补充信息 |
| 观察栈 | k系列 | Display Stack Backtrace | k, kb, kc, kd, kp, kP, kv |
- 设置维护断点
| 功能 | 命令 | 描述/助记 |
| 软件断点 | bp, bu, bm | Set Breakpoint, Set Unresolved Breakpoint, Set Symbol Breakpoint |
| 硬件断点 | ba | Break on Access |
| 管理断点 | bl | Breakpoint List |
| 清除,禁止,从新启用断点 | bc, bd, be | Breakpoint Clear, Breakpoint Disable, Breakpoint Enable |
- 线程
| 功能 | 命令 | 描述/助记 |
| 显示控制线程 | ~ | Thread Status |
- 进程
| 功能 | 命令 | 描述/助记 |
| 显示进程 | | | Process Status |
- 表达式
| 功能 | 命令 | 描述/助记 |
| 评估表达式 | ? | Evaluate Expression |
| 评估C++表达式 | ?? | Evaluate C++ Expression |
- 汇编, 反汇编
| 功能 | 命令 | 描述/助记 |
| 汇编 | a | Assemble |
| 反汇编 | u | Unassemble |
- 段
| 功能 | 命令 | 描述/助记 |
| 显示段的选择子 | dg | Display Selector: shows the segment descriptor for the specified selector |
- 执行命令文件
| 功能 | 命令 | 描述/助记 | 补充信息 |
| 运行命令脚本文件 | $ | Run Script File | $<, $><,
<,
|
| ><, $$>a< |
- 配置命令
| 功能 | 命令 | 描述/助记 | 补充信息 |
| 异常发生或者某事件发生时debuger的处理方式 | sx系列 | Set Exceptions | sx, sxd, sxe, sxi, sxn, sxr, sx- |
| 启用与禁止静默模式 | sq | Set Quiet Mode | sq |
| 设置内核debugging选项 | so | Set Kernel Debugging Options | |
| 设置符号后缀 | ss | Set Symbol Suffix | ss [a|w|n] |
- 版本与系统信息
| 功能 | 命令 | 描述/助记 |
| 显示调试器和调试目标版本 | version | Show Debugger Version |
| 显示调试目标所在系统的信息 | vertarget | Show Target Computer Version |
- 检查符号
| 功能 | 命令 | 描述/助记 |
| 检查符号 | x | Examine Symbols |
- 源程序
| 功能 | 命令 | 描述/助记 | 补充信息 |
| 控制和显示源程序 | ls系列 | List Source Lines | ls, lsa, lsp, lsc, lsf |
- 调试符号
| 功能 | 命令 | 描述/助记 |
| 加载调试符号 | ld | Load Symbols |
| 搜索相邻符号 | ln | List Nearest Symbols |
| 显示模块列表 | lm | List Loaded Modules |
- 调试会话
| 功能 | 命令 | 描述/助记 |
| 结束调试会话 | q | Quit |
| 结束远程调试 | Quit | |
| 结束调试会话并分离调试目标 | qd | Quit and Detach |
2、元命令数据结构
元命令(Meta-Command)用来提供标准命令没有提供的经常使用调试功能, 与标准命令同样, 元命令也是内建在调试器引擎或者WinDBG程序文件中的. 全部元命令都已一个点(.)开始, 因此元命令也被称为点命令(Dot Command)。app
按照功能, 能够把元命令分红以下几类.ui
- 显示和设置调试会话和调试器选项.
- 用于符号选项的.symopt- Set Symbol Options
- 用于符号路径的.sympath- Set Symbol Path, 和.symfix- Set Symbol Store Path.
- 用于程序源文件的.srcpath- Set Source Path, .srcnoisy- Noisy Source Loading, .srcfix- Use Source Server
- 用于扩展命令模块路径的.extpath- Set Extension Path
- 用于匹配扩展命令的.extmatch- Display All Matching Extensions
- 用于可执行文件的.exepath- Set Executable Path
- 设置反汇编选项的.asm- Change Disassembly Options
- 控制表达式评估器的.expr- Choose Expression Evaluator
- 控制调试会话或者调试目标.
- 从新开始调试会话的.restart- Restart Kernel Connection(Kernel Mode) 或 Restart Target Application(User Mode)
- 放弃用户态调试目标(进程)的.abandon- Abandon Process
- 建立新进程的.create- Create Process
- 附加到存在进程的.attach- Attach to Process
- 打开转储文件的.opendump- Open Dump File
- 分离调试目标的.detach- Detach from Process
- 用于杀掉进程的.kill- Kill Process
- 管理扩展命令模块
- 加载模块的.load- Load Extension DLL
- 卸载模块.unload- Unload Extension DLL和.unloadall- Unload All Extension DLLs
- 显示已加载模块的.chain- List Debugger Extensions
- 管理调试器日志文件
- 显示信息 .logfile- Display Log File Status
- 打开 .logopen- Open Log File
- 追加 .logappend- Append Log File
- 关闭 .logclose- Close Log File
- 远程调试
- 用于启动remote.exe服务的.remote- Create Remote.exe Server
- 用于启动调试引擎服务器的.server- Create Debugging Server
- 列出可用服务器的.servers- List Debugging Servers
- 用于向远程服务器发送文件的.send_file- Send File
- 用于结束远程进程服务器的.endpsrv- End Process Server
- 用于结束引擎服务器的.endsrv- End Debugging Server
- 控制调试器
- 让调试器睡眠一段时间的.sleep- Pause Debugger
- 唤醒处于睡眠状态的调试器的.wake- Wake Debugger
- 启动另外一个调试器来调试当前调试器的.dbgdbg- Debug Current Debugger
- 编写命令程序
- 包括一系列相似C语言关键字的命令, 如
- .if, .else, .elsif, .foreach, .do, .while. .continue, .catch, .break, .continue, .leave, .printf, .block. 在<软件调试>一书第30章的第18节有介绍命令程序的编写方法.
- 包括一系列相似C语言关键字的命令, 如
- 显示或者转储调试目标数据
- 产生转储文件的.dump- Create Dump File
- 将原始内存数据写到文件的.writemem- Write Memory to File
- 显示调试会话时间的.time- Display System Time
- 显示线程时间的.ttime- Display Thread Times
- 显示任务列表的.tlist- List Process IDs
- 以不一样格式显示数字的.formats- Show Number Formats
- 能够列出全部元命令和每一个命令的简单说明的.help- Meta-Command Help
3、扩展命令lua
扩展命令(Extension Command)用于实现针对特定调试目标的调试功能,用于扩展某一方面的调试功能。与标准命令和元命令是内建在WinDBG程序文件中不一样, 扩展命令式实如今动态加载的扩展模块(DLL)中的。全部的扩展命令都以!开头。经过WinDBG的SDK,用户能够编写本身的扩展模块和扩展命令。执行扩展命令式, 应该以叹号( ! )开始, 叹号在英文中被称为bang, 所以扩展名伶也被称为Bang Command. 执行扩展命令的完整格式是:![扩展模块名].<扩展命令名> [参数]。其中, 扩展模块名能够省略, 若是省略, WinDBG会自动在已经加载的扩展模块中搜索指定的命令.spa
WinDBG程序包中包含了经常使用的扩展命令模块。存放在如下几个子目录中:线程
- WINXP: 调试目标为Windows XP 或者更高版本时版本时的扩展命令模块。
- WINEXT: 适用于全部Windows版本的扩展命令模块。
| 扩展模块 |
路径 |
描述 |
| ext.dll |
WINEXT |
适用于各类调试目标的经常使用扩展命令 |
| kext.dll |
WINEXT |
内核态调试时的经常使用扩展命令 |
| uext.dll |
WINEXT |
用户态调试时的经常使用扩展命令 |
| logexts.dll |
WINEXT |
用于监视和记录API调用(Windows API Logging Extensions) |
| sos.dll |
WINEXT |
用于调试托管代码和.Net程序 |
| ks.dll |
WINEXT |
用于调试内核流(Kernel Stream) |
| wdfkd.dll |
WINEXT |
调试使用WDF(Windows Driver Foundation)编写的驱动程序 |
| acpikd.dll |
WINXP |
用于ACPI调试,追踪调用ASL程序的过程,显示ACPI对象 |
| exts.dll |
WINXP |
关于堆(!heap)、进程/线程结构(!teb/!peb)、安全信息(!token、!sid、!acl)和应用程序验证(!avrf)等的扩展命令 |
| kdexts.dll |
WINXP |
包含了大量用于内核调试的扩展命令 |
| fltkd.dll |
WINXP |
用于调试文件系统的过滤驱动程序(FsFilter) |
| minipkd.dll |
WINXP |
用于调试AIC78xx小端口(miniport)驱动程序 |
| ndiskd.dll |
WINXP |
用于调试网络有关驱动程序 |
| ntsdexts.dll |
WINXP |
实现了!handle、!locks、!dp、!dreg(显示注册表)等命令 |
| rpcexts.dll |
WINXP |
用于RPC调试 |
| scsikd.dll |
WINXP |
用于调试SCSI有关的驱动程序 |
| traceprt.dll |
WINXP |
用于格式化ETW信息 |
| vdmexts.dll |
WINXP |
调试运行在VDM中的DOS程序和WOW程序 |
| wow64exts.dll |
WINXP |
调试运行在64位Windows系统中的32位程序 |
| wmitrace.dll |
WINXP |
显示WMI追踪有关的数据结构、缓冲区和日志文件 |
由于扩展命令是实如今动态加载的扩展模块(DLL)中的, 因此执行时须要加载对应的扩展模块. 当调试目标被激活(debuggee activation)时, WinDBG会根据调试目标的类型和当前的工做空间自动加载命令空间中指定的扩展模块。用户也可使用一下方法手动加载扩展模块。
- 使用.load命令加上扩展模块的名称或者完成路径来加载它. 若是没有指定路径, 那么WinDBG会在扩展模块搜索路径(EXTPATH)中寻找这个文件.
- 使用.loadby命令加上扩展模块的名称和一个已经加载的程序模块的名称. 这时WinDBG会在指定的程序模块文件所在目录中寻找和加载扩展命令模块. 例如, 在调试托管程序是, 可使用.loadby sos mscorwks命令让WinDBG在mscorwks模块所在的目录中加载SOS扩展模块, 这样能够确保加载正确版本的sos模块.
当使用"!扩展模块名.扩展命令名"的方式执行扩展命令时, 若是指定的扩展模块尚未加载, 那么WinDBG会自动搜索和加载这个模块.使用.chain命令能够列出当前加载的全部扩展模块, 使用.unload和.unloadall命令能够卸载指定的或者所有扩展模块. 大多数扩展模块都支持help命令来显示这个模块的基本信息和所包含的所有命令, 例如执行!ext.help能够显示ext模块中的全部扩展命令。
- 1. 【WinDbg】WinDbg的命令
- 2. WinDbg命令
- 3. WinDbg 命令
- 4. windbg wt命令
- 5. Windbg命令
- 6. windbg命令手册
- 7. windbg基本命令
- 8. windbg调试命令
- 9. 《WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册》
- 10. 《WinDbg 命令三部曲:(一)WinDbg 命令手册》
- 更多相关文章...
- • Docker info 命令 - Docker命令大全
- • Docker version 命令 - Docker命令大全
- • Docker 清理命令
- • 漫谈MySQL的锁机制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Appium入门
- 2. Spring WebFlux 源码分析(2)-Netty 服务器启动服务流程 --TBD
- 3. wxpython入门第六步(高级组件)
- 4. CentOS7.5安装SVN和可视化管理工具iF.SVNAdmin
- 5. jedis 3.0.1中JedisPoolConfig对象缺少setMaxIdle、setMaxWaitMillis等方法,问题记录
- 6. 一步一图一代码,一定要让你真正彻底明白红黑树
- 7. 2018-04-12—(重点)源码角度分析Handler运行原理
- 8. Spring AOP源码详细解析
- 9. Spring Cloud(1)
- 10. python简单爬去油价信息发送到公众号
- 1. 【WinDbg】WinDbg的命令
- 2. WinDbg命令
- 3. WinDbg 命令
- 4. windbg wt命令
- 5. Windbg命令
- 6. windbg命令手册
- 7. windbg基本命令
- 8. windbg调试命令
- 9. 《WinDbg 命令三部曲:(三)WinDbg SOSEX 扩展命令手册》
- 10. 《WinDbg 命令三部曲:(一)WinDbg 命令手册》