[笔记]WinDBG使用教程

参考：
Ｗindbg调试入门

https://docs.microsoft.com/zh-cn/windows-hardware/drivers/debugger/calls-window

前言

Windows 调试程序 (WinDbg) 可用于调试内核模式和用户模式代码、分析故障转储以及在代码执行时检查 CPU 寄存器。

准备

Windbg安装
下载对应windows版本的SDK

使用

执行命令前都需要attach一个进程

显示一个EPROCESS结构和域的格式

0:002>dt nt!_eprocess ntdll!_EPROCESS +0x000 Pcb:_KPROCESS +0x2e0 ProcessLock:_EX_PUSH_LOCK +0x2e8 UniqueProcessId:Ptr64 Void +0x2f0 ActiveProcessLinks:_LIST_ENTRY +0x300 RundownProtect:_EX_RUNDOWN_REF +0x308 Flags2:Uint4B +0x308 JobNotReallyActive:Pos0,1Bit +0x308 AccountingFolded:Pos1,1Bit...

查看PEB

!peb# 查看PEB所有内容

!peb xxxx# !peb + 地址

查看堆栈

k

定位当前异常地址

.ecxr

查看已载入的符号

lml

查看内存

d

du[寄存器/地址]

断点

断点某个函数

bu winhttp!WinHttpConnect

查看模块列表

lm

查看所有线程，通过tid确认你要查看的线程

~*

Id: 1d20.2f84 .2f84就是tid,1d20是pid

0:016>~*#0Id:1d20.2f84 Suspend:0Teb:000000cc`53cca000 Unfrozen Start:TitanAgent!wmainCRTStartup(00007ff7`e5233800)Priority:0Priorityclass:32Affinity:ffff1Id:1d20.32a4 Suspend:0Teb:000000cc`53cd2000 Unfrozen Start:TitanAgent!thread_start<unsignedint(__cdecl*)(void*__ptr64)>(00007ff7`e532f920)Priority:0Priorityclass:32Affinity:ffff2Id:1d20.c80 Suspend:0Teb:000000cc`53cd4000 Unfrozen Start:TitanAgent!ExceptionHandler::ExceptionHandlerThreadMain(00007ff7`e4ef6b40)Priority:0Priorityclass:32Affinity:ffff

切换到某个线程

~[thread_num]s

例如切换到16号进程

~16s

分析dump

查看入参

点击call stacks的函数 对应Locals会显示对应的形参

常用技巧

windbg 算地址

常用于dump分析 结合反编译查看崩溃位置

总结