1.1 使用帮助
Windbg中的命令分为三种:基本命令、元命令和扩展命令。基本命令和元命令都是调试器自带的,元命令以“ .”开头。
扩展命令是外部加入的,以“!”开头。
.help [/D]
查询所有的元命令. 参数/D 以DML格式显示
?
查询基本命令
扩展命令是从动态链接库中暴露出来的,一般以DLL文件名代表一类扩展命令集。
.chain [/D]
列出扩展命令集的链表
[图片chain]
windbg自带的扩展模块:dbghelp、ext、wow64exts、exts、uext、ntsdexts。
!模块.help
查询模块中的命令
1.2 DML
DML(Debugger Markup Language调试标记语言)像HTML一样,可从一处链接到一处。
.dml_start
显示DML格式帮助文档
[图片dml_start]
.prefer_dml 1 默认开启DML
.prefer_dml 0 默认关闭DML
1.3 基本信息
version 显示操作系统的版本信息及Windbg本身的版本信息
| 列出可调试对象的列表
在多个对象间切换可以使用| 编号 s
.time 查询时间
1.4 基本设置
.cls 清屏命令
n [8|10|16] 默认使用16进制
? <expr> 显示表达式
.effmach [x86|adm64|ia64|ebc] 设置处理器模式,即有效的机器类型(Effective Machine Type)
1.5 格式化显示
.formats 整数 将一个整数以各种格式显示
1.6 开始调试
.attach PID 附加到指定进程
winddbg -p PID 通过windbg的启动参数进行附加
winddbg -pn 进程名 通过进行名进行附加
.create 程序启动命令行 创建一个指定的新的进程
windbg 程序启动命令行 创建一个指定的新的进程
.opendump 文件名 打开一个dump文件
.dump 文件名 生成一个dump文件
.detach 结束当前调试会话
q|qq|qd q是Quit的缩写。结束当前调试会话,并返回到最简单的工作空间,甚至把命令行界面也关闭掉。q和qq两个命令将结束(close)被调试的进程,qd不会关闭调试进程,而是进行解挂操作。
!runaway 显示当前进程中所有线程的消耗时间
~ 线程号 线程号是由调试器软件内部维护的线程ID值,是一个从0开始的整数,和线程ID不是一回事
SOS.dll中的命令
!dso 显示在当前栈范围内找到的所有托管对象。
!do 显示在指定地址上的一个对象的有关信息
!dumpmt [-md] <methodtable address> 显示在指定地址上的一个方法表的有关信息。指定 -md 选项显示列出该对象定义的所有方法。
每个托管对象包含有一个方法表指针。