windbg命令集合

调试会话

.create ：创建新的进程并调试例子 .create notepad.exe

.attach：附加到指定进程例子 .attach 2568

.restart：让调试目标重新运行例子 .restart 或者.restart /f

.crash：强制目标系统崩溃(内核态) 例子 .crash

.reboot：重启目标系统(内核态) 例子 .reboot

.detach：分离调试目标例子 .detach

q：终止调试例子 q

模块和符号

.symfix：设置符号服务器例子 .symfix c:\symbols

.reload：刷新模块和符号例子 .reload 或者.reload /f

ld：加载符号文件例子 ld kernel32

.sympath：显示或者设置符号路径例子 .sympath 或者.sympath+d:\sym\

!sym：显示符号选项例子 !sym noisy 或者!sym quiet

x：显示符号例子 x VAXPlayer!* 显示vaxplayer库中所有的符号

ln：搜索符号例子 ln aebc6eac（可以查找符号来对应动态库）

lm：列模块或显示模块详情例子 lm (可以查看对应的pdb文件) lmf(可以查看程序运行的时候对于的dll信息)

!lmi ：模块或pdb文件详情例子 !lmi ntdll

!dlls：动态库信息例子 !dlls -a

!dh：观察PE文件头例子 !dh 76930000 -a

转储文件

.dump :产生转储文件例子 .dump /mfh c:\a.dmp

!analyze：自动分析例子 !analyze -v

.writemem：将内存数据写到文件例子 .writemen c：\dump\test.txt 07288600 L2000

进程

|：显示或切换进程(用户态) 例子 |* 或者|2s

!process：显示进程例子！process 0 0

!dml_proc：观察进程信息例子 !dml_proc $$以DML方式显示进程信息

.process：显示或切换进程(内核态) 例子 .process /i 9382a560

.kill：杀进程例子 .kill 8adc85f0

!peb：观察进程信息例子！peb

dt：观察数据结构例子 dt ntdll!_PEB@$peb -r

.tlist：列进程例子 .tlist 列出调试器所在系统的所有进程

线程

~：显示/切换线程例子 ~*显示所有线程 ~2s切换到2号线程

!teb：显示线程块例子 !teb

.thread：显示或切换线程(内核态) 例子 .thread 80551d20 或.thread /p 8747da8

!thread：观察线程(内核态) 例子！thread

!wow64exts.info：运行在64bit系统的32bit线程信息例子 !wow64exts.info

!wow64exts.sw：32bit和64bit调试器切换例子 !wow64exts.sw

内存

!address：观察内存空间例子 !address

!address：观察内存块属性例子 !address 0728988a

d：显示内存数据例子 db e2001744

dt：按类型显示内存数据例子 dt _GUID 014511471

e：编辑内存数据例子 eb 00175487 ff

!dd：读取物理地址例子 !dd fffffff0

!ed：写物理地址例子 !ed fffffff0 8000

!vtop：虚拟地址转换为物理地址例子！vtop 0 badfde064

!pte：显示页表项例子！pte f6551410

!memusage：显示物理内存使用情况例子！memusage

!pool：显示内核池信息例子 !pool e326c000

!vad：观察进程的地址空间例子！vad 8a761451

!sdbgext.hwnd：观察窗口句柄例子！sbdgext.hwnd 001506c1

堆

!heap：显示堆信息例子 !heap 01671010 -a

栈

k：函数调用序列例子 ~*kbn

.frame ：切换当前栈帧例子 .frame 2

dds：显示数据和符号例子 dds 80418424

dv：显示局部变量例子 dt

寄存器

r：读写寄存器例子 r cr3

rdmsr：读取MSR寄存器例子 rdmsr 19c

上下文

.ecxr：切换到异常上下文例子 .ecxr

.tss：切换到指定TSS 例子 .tss 28

.trap：切换到陷阱栈例子 .trap 80541471

.effmach：切换32和64bit上下文例子 .effmach X86

断点

bp：软件断点例子 bp test!test.cpp:65

ba：硬件断点例子 ba w4 00006484

bm：成批设置断点例子 bm /a nt!Dbgk*

bd/be/bc/dl：管理断点

执行和跟踪

g：恢复执行例子 g

p：单步执行例子 p

t：单步跟踪例子 t

wt：自动跟踪例子 wt -l 3

反汇编

u：反汇编例子 u nt！PsGetcutrentID

uf：反汇编整个函数例子 uf RtlLeaveCriticalSection

ub：反向反汇编例子 ub 14785214

a ：汇编例子 a<地址>

死锁

!locks：扫描关键区(用户态)或ERESOURCE(内核态) 例子！locks

!cs：观察关键区例子 !cs -l

!alpc：观察ALPC端口例子 !alpc /m 02145895

处理器

!pcr：管理处理器控制区例子！pcr

dg：观察段描述符例子 dg @fs

!cpuid：显示CPU型号例子 !cpuid

!cpuinfo:显示cpu属性(内核态) 例子 !cpuinfo

!irql：显示保存的IRQL

windbg命令集合相关推荐

Linux下，各种解压缩命令集合
Linux下,各种解压缩命令集合 tar xvfj lichuanhua.tar.bz2 tar xvfz lichuanhua.tar.gz tar xvfz lichuanhua.tgz tar ...
linux(Ubuntu/Centos) iproute 路由IP地址等命令集合，查看端口链接
原 linux(Ubuntu/Centos) iproute 路由IP地址等命令集合,查看端口链接 2017年03月20日 16:55:57 风来了- 阅读数:2291 标签: centoslinux ...
双轴机械臂串口控制命令开发与测试：STM32F103控制板,简易调试命令集合
▌01 底层串口控制命令 1.调试说明本文是继调试机械臂一体化控制电路博文中对于两轴机械臂+机械爪整体控制板设计与机械爪控制调试在基于STM32F103双轴机械臂完整电路板控制下进行串口 ...
数据包构造分析工具Hping3常用命令集合大学霸IT达人
数据包构造分析工具Hping3常用命令集合大学霸IT达人 Hping是一个命令行下使用的TCPIP数据包组装分析工具.该工具的命令模式很像Unix下的ping命令.它不止能发送ICMP回应请求,还支持 ...
基于ARP的网络扫描工具netdiscover常用命令集合大学霸IT达人
基于ARP的网络扫描工具netdiscover常用命令集合大学霸IT达人 ARP是将IP地址转化物理地址的网络协议.通过该协议,可以判断某个IP地址是否被使用,从而发现网络中存活的主机.netdisc ...
批量探测工具fpingping常用命令集合大学霸IT达人
批量探测工具fpingping常用命令集合大学霸IT达人批量探测工具fpingping是各个系统自带的基于ICMP协议的主机探测工具.但该工具一次只能检测一个主机,不满足渗透测试批量探测的需要.fp ...
ARP探测目标工具arping常用命令集合大学霸IT达人
ARP探测目标工具arping常用命令集合大学霸IT达人 ARP协议是一种将IP地址转化物理地址的协议.通过ARP请求包和响应包,可以判断一个IP地址是否在使用.同理,通过该协议可以探测局域网主机是否 ...
ARP监控工具ARPalert常用命令集合大学霸IT达人
ARP监控工具ARPalert常用命令集合大学霸IT达人 ARP协议用于IP转化为MAC地址.由于ARP协议的缺陷,导致被用于中间人攻击.ARPalert是一款专用的ARP监控工具.该工具可以对网络中 ...
SSL_TLS快速扫描器SSLScan常用命令集合大学霸IT达人
SSL_TLS快速扫描器SSLScan常用命令集合大学霸IT达人 SSLScan是一个SSL/TLS快速扫描器,可自动识别SSL配置错误.过期协议.过时Chipher Suite和Hash算法等.默认 ...

windbg命令集合

windbg命令集合相关推荐

最新文章

热门文章