windbg 常用命令

// 列出所有模块对应的符号信息

x sede_guardx!*

x sede_guardx!drawWatermark*

x sede_guardx!*createMemDC*

// 查看当前堆栈

//下断点

bu sede_guardx!drawWatermark 或者 bm sede_guardx!drawWatermark

或者 bu sede_guardx!WatermarkWindow::createMemDC

bu sede_guardx!WatermarkWindow::createMemDC+0x25d

bl // 列出所有断点

bc * // 清除所有断点

bc 1 // 清除1号断点

bc 1 2 5 // 清除1号、2号、5号断点

be * // 启用所有断点

be 1 // 启用1号断点

be 1 2 5 // 启用1号、2号、5号断点

bd * // 禁用所有断点

bd 1 // 禁用1号断点

bd 1 2 5 // 禁用1号、2号、5号断点

bp 7c801b00 // 在7c801b00地址处放置一个断点

bp MyDll+0x1032 // 在模块MyDll.dll偏移0x1032处放置一个断点

bp `ConsoleTest.cpp:36` // 在ConsoleTest.cpp的36行处放置一个断点

bp main // 在main函数的起始处放置一个断点

bp @$exentry // 在进程的入口放置一个断点

bp CSecondLoader::CSecondLoader // 在CSecondLoader的构造函数处放置一个断点

bp TestCommon! CTest::add // 在TestCommon.dll的Test.cpp文件的CTest::add()函数起始处放置一个断点

bp `ConsoleTest.cpp:40` ".if (poi(pVar)>5) {}; {g}" // ".if (Condition) {Optional Commands}; {g}" 条件断点 pVar指针指向的值>5，执行空语句（;），断住否则继续执行

bp `ConsoleTest.cpp:40` "j (poi(pVar)>5) ' '; 'g'" // "j (Condition) 'Optional Commands'; 'g'" j为条件表示式：条件断点 pVar指针指向的值>5，执行空语句（;），断住否则继续执行

注：Condition表达式语法默认的是MASM表达式语法。使用复杂C++表达式时我们需要用@@c++()将表达式包围住；如："j @@c++(*pVar>5) ' '; 'g'"

//查看断点

//单步调试

p // 单步执行(F10) 【Step】

p 2 // 2为步进数目

pc // 执行到下一个函数调用处停下【Step to Next　Call】

pa 7c801b0b // 执行到7c801b0b地址处停下【Step to Adress】

t // Step into(F11)　【Trace】

tc // 执行到下一个进入点（Call指令）处停下　【Trace to Next Call】

//函数参数变量请用dv命令

若要查看在记事本进程中加载的代码模块列表，请输入以下命令：

0:000> lm
start end module name
00007ff6`6e760000 00007ff6`6e798000 notepad (pdb symbols) C:\ProgramData\Dbg\sym\notepad.pdb\BC04D9A431EDE299D4625AD6201C8A4A1\notepad.pdb
00007ff8`066a0000 00007ff8`067ab000 gdi32full (deferred)
00007ff8`067b0000 00007ff8`068b0000 ucrtbase (deferred)
00007ff8`06a10000 00007ff8`06aad000 msvcp_win (deferred)
00007ff8`06ab0000 00007ff8`06ad2000 win32u (deferred)
00007ff8`06b40000 00007ff8`06e08000 KERNELBASE (deferred)
00007ff8`07220000 00007ff8`072dd000 KERNEL32 (deferred)
00007ff8`07420000 00007ff8`07775000 combase (deferred)
00007ff8`07820000 00007ff8`079c0000 USER32 (deferred)
00007ff8`079c0000 00007ff8`079f0000 IMM32 (deferred)
00007ff8`07c00000 00007ff8`07c2a000 GDI32 (deferred)
00007ff8`08480000 00007ff8`085ab000 RPCRT4 (deferred)
00007ff8`085b0000 00007ff8`0864e000 msvcrt (deferred)
00007ff8`08c40000 00007ff8`08cee000 shcore (deferred)
00007ff8`08db0000 00007ff8`08fa5000 ntdll (pdb symbols) C:\ProgramData\Dbg\sym\ntdll.pdb\53F12BFE149A2F50205C8D5D66290B481\ntdll.pdb
00007fff`f8580000 00007fff`f881a000 COMCTL32 (deferred)

windbg 常用命令相关推荐

windbg 常用命令详解
一. 1. !address eax 查看对应内存页的属性 2. vertarget 显示当前进程的大致信息 3 !peb 显示process Environment Block 4. lmvm ...
Windbg常用命令详解
目录 1.Windbg命令分类 2.常用的命令 2.1..ecxr命令 2.2.kn/kv/kp命令 2.3.lm命令 2.4..reload命令
ZZ：windbg 常用命令
ZZ from:http://www.cppblog.com/Walker/archive/2012/06/28/146523.html 不要再假装自己写的程序没bug了,不可能的,debug工具你早 ...
windbg 常用命令~*
32bit和64bit切换:!wow64exts.sw 查看进程运行的时间:vertarget 查看依赖的动态库(包含dll的路径):lmf 查看pdb文件:lm 查看所有的线程堆栈:~*kbn 切换 ...
WinDbg常用命令For Kernel Debug
1.lm命令 lm m s* lm lmsm 2.看堆栈调用 kb 3.断点(有符号) bp HelloDDK!DriverEntry 4.断点(无符号) sxe ld HelloDDK 这样会断在n ...
windbg常用命令
!pool +va 可以分析出一个地址是不是通过ExAllocatePool分配的以及是分页内存还是非分页内存 ba e1 +va 硬件断点 dps rsp 查看堆栈会显示出相应的函数名 !pte ...
windows常用命令有哪些（整理）
windows常用命令有哪些(整理) 一.总结一句话总结:其实这个好学,只要先弄懂主干,清除主干,那么枝叶的添加逻辑就很清除了这种多内容的,散乱的,弄清除主干效率就高了 1.windows命令行的 ...
Windbg调试命令详解
Windbg调试命令详解发表于2013 年 8 月 23 日转载注明>> [作者:张佩][原文:http://www.yiiyee.cn/Blog] 1. 概述用户成功安装微软Win ...
Windows cmd常用命令行命令
Windows常用命令行命令打开"运行"对话框(Win+R),输入cmd,打开控制台命令窗口... 也可以通过cmd /c 命令和 cmd /k 命令的方式来直接运行命令注: ...
搬运！ Windbg调试命令详解
转载注明>> [作者:张佩][原文:http://www.yiiyee.cn/Blog] 1. 概述用户成功安装微软Windows调试工具集后,能够在安装目录下发现四个调试器程序,分别是 ...

windbg 常用命令

windbg 常用命令相关推荐

最新文章

热门文章