Windbg调试命令详解概要.docx

1. 概述用户成功安装微软Windows调试工具集后，能够在安装目录下发现四个调试器程序，分别是：cdb.exe、ntsd.exe、kd.exe和Windbg.exe。其中cdb.exe和ntsd.exe只能调试用户程序，Kd.exe主要用于内核调试，有时候也用于用户态调试，上述三者的一个共同特点是，都只有控制台界面，以命令行形式工作。Windbg.exe在用户态、内核态下都能够发挥调试功能，尤其重要的是，它不再是命令行格式而是采用了可视化的用户界面。所以绝大部分情况下，我们在谈及Windows调试工具的时候，都直接指向Windbg，而不大谈及前三者。Windbg在用户态和内核态下，都支持两种调试模式，即“实时调试模式（Living）”和“事后调试模式（Postmortem）”。所谓实时模式，是被调试的目标对象（Target）当前正在运行当中，调试器可以实时分析、修改被调试目标的状态，如寄存器、内存、变量，调试exe可执行程序或双机实时调试都属于这种模式；所谓事后模式，是被调试的目标对象（Target）已经结束了，现在只是事后对它保留的快照进行分析，这个快照称为转储文件（Dump文件）。Windbg另一个重大优点，还在于它支持源码级的调试，就像VC自带的调试器一样。虽然提供了用户界面，但Windbg归根结底还是需要用户一个个地输入命令来指挥其行动。这就是他的Command窗口。每个调试命令都各有使用范围，有些命令只能用于内核调试，有些命令只能用于用户调试，有些命令只能用于活动调试。但用户也不必记得这许多，一旦在某个环境下，使用了不被支持的命令，都会显示“No export XXX found”的字样。就拿!process命令来说吧，它显示进程信息，但只能用于内核调试中，如果在用户调试中使用，就是下面的情景：0:001 !processNo export process found1.1 寻求帮助我们首先来看如何在使用过程中获取有用的帮助。Windbg中的调试命令，分为三种：基本命令，元命令和扩展命令。基本命令和元命令是调试器自带的，元命令总是以“.”开头，而扩展命令是外部加入的，总是以感叹号“!”开头。各种调试命令成千上万，我们首先要想办法把它们都列举出来，并取得使用方法。基本命令最少了，大概40个左右。列举所有的基本命令，使用如下命令：?元命令有一百多个，使用下面命令列举所有元命令：.help? [/D]如使用“/D”参数，命令列表将以DML格式显示。DML是一种类似于HTML的标识语言，下面会讲到。下图以DML格式显示所以有字母a开头的元命令：最后讲扩展命令。所谓扩展命令，顾名思义是可以“扩展”的。扩展命令从动态连接库中暴露出来，一般以DLL文件名来代表一类扩展命令集，首先我们要搜索出系统中有多少个这样的DLL文件，使用下面命令：.chain? [/D]此命令能够给出一个扩展命令集的链表。和.help命令一样，也可以使用/D参数以DML格式显示。如下所示：0:001 .chainExtension DLL search Path: C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\WINXP;Extension DLL chain: dbghelp: image 6.2.9200.20512, API 6.2.6, built Fri Sep 07 13:45:49 2012 [path: C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\dbghelp.dll] ext: image 6.2.9200.16384, API 1.0.0, built Thu Jul 26 10:11:33 2012 [path: C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\winext\ext.dll] exts: image 6.2.9200.16384, API 1.0.0, built Thu Jul 26 10:15:20 2012 [path: C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\WINXP\exts.dll] uext: image 6.2.9200.16384, API 1.0.0, built Thu Jul 26 10:15:09 2012 [path: C:\Program Files (x86)\Windows Kits\8.0\Debuggers\x64\winext\uext.dl