使用WinDbg —— .NET篇 (一)

最新推荐文章于 2025-10-10 16:48:39 发布
原创 最新推荐文章于 2025-10-10 16:48:39 发布 · 6.1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c# #debug #debugging #framework #调试

本文介绍了如何使用WinDbg调试C#编写的.NET程序,涵盖了调试符号、调试目标、调试环境设置、SOS与SOSEX扩展命令的加载等内容,是初学者了解WinDbg调试.NET程序的入门指南。

转载请注明出处:http://blog.youkuaiyun.com/ecjtu_luowei/article/details/43974727

一、前言

WinDBG作为Microsoft的御用工具,其强大之处使我这等小辈难以望其项背,它设计了极其丰富的功能来支持各种调试任务,包括用户态调试、内核态调试、dump文件调试、远程调试等。其灵活性和可扩展性能极大满足调试要求。所以对于WinDBG,读者非常有必要花费一些业余时间来学习研究。

本文主要是通过调试C#编写的NET程序来对WinDBG作一个片面的介绍,由于笔者真正开始使用Windbg的时间并不长,所以文中难免有许多谬误之处,如在阅读本文过程中遇到问题或错误,可直接联系笔者(sbcd3760@gmail.com)。

二、概述

尽管Windbg是个GUI程序,但是大部分工作都是通过命令的方式。Windbg共支持三种命令:标准命令、元命令、和扩展命令。在接下来的文章中,这三种命令都会有所涉及。

标准命令往往都非常简单,通常一两个字符或符号,用来提供使用各种调试目标的最基本调试功能。如:gtpq等。

元命令用来提供标准命令没有提供的调试功能,元命令和标准命令都是内建在调试器或Windbg程序文件中。

扩展命令用于扩展某一方面的调试功能。扩展命令是通过加载第三方的DLL来实现调试任务的。调试net程序大部分使用的都是扩展命令,主要的扩展dll就是SOS.dllSOSEX.dll

这三种命令有个明显的区分方式就是元命令都是以点(.)开始,扩展命令通常以感叹号(!)开始,如果一个有效的命令既不是扩展命令也不是元命令那么它就是标准命令了。

三、开始调试

3.1 调试符号(Symbol

看大部分Windbg的基础教程和Windbg的官网首页上都首先提到Symbol路径的设置,Symbol其实主要起一个辅助作用,在调试分析的过程中对内存中的机器代码翻译成对应的源代码的信息或是Win32 API的信息,如函数名,数据结构名,变量名、机器指令对应的源文件名和行号等。一般我们在组建编译文件的时候生成exedll文件的同时也会生成一个对应的pdb文件,这个文件就包含了exedll的辅助信息。

是否加载Symbol的区别如下:

没有加载Symbol

0:000> u D20108

*** ERROR: Module load completed but symbols could not be loaded for notepad.exe

notepad+0x108:

00d20108 8936            mov     dword ptr [esi],esi

00d2010a 0000            add     byte ptr [eax],al

00d2010c 0010            add     byte ptr [eax],dl

00d2010e 0000            add     byte ptr [eax],al

00d20110 00c0            add     al,al

00d20112 0000            add     byte ptr [eax],al

00d20114 0000            add     byte ptr [eax],al

00d20116 d200            rol     byte ptr [eax],cl

 

加载Symbol

0:000> u D20108

notepad!_imp__RegSetValueExW <PERF> (notepad+0x108):

00d20108 8936            mov     dword ptr [esi],esi

notepad!_imp__RegSetValueExW <PERF> (notepad+0x10a):

00d2010a 0000            add     byte ptr [eax],al

notepad!_imp__RegSetValueExW <PERF> (notepad+0x10c):

00d2010c 0010            add     byte ptr [eax],dl

notepad!_imp__RegSetValueExW <PERF> (notepad+0x10e):

00d2010e 0000            add     byte ptr [eax],al

notepad!_imp__RegSetValueExW <PERF> (notepad+0x110):

00d20110 00c0            add     al,al

notepad!_imp__RegSetValueExW <PERF> (notepad+0x112):

00d20112 0000            add     byte ptr [eax],al

notepad!_imp__RegSetValueExW <PERF> (notepad+0x114):

00d20114 0000            add     byte ptr [eax],al

notepad!_imp__RegSetValueExW <PERF> (notepad+0x116):

00d20116 d200            rol     byte ptr [eax],cl

 

如果Symbol文件和对应的dllexe在同一目录下,那么在调试的过程中,当dllexe文件被加载的时候,对应的Symbol文件也会自动加载,所以一般情形下我们不需要设置Symbol路径。如果pdb文件和dll文件不再同一目录下,我们也可以手动的设置Symbol的路径。一般设置Symbol的方式有两种:

1. 通过菜单设置

 

2. 通过命令设置:

0:004> .sympath d:\symbol

Symbol search path is: d:\symbol

Expanded Symbol search path is: d:\symbol

 

************* Symbol Path validation summary **************

Response                         Time (ms)     Location

OK                                             d:\symbol

0:004> .reload

Reloading current modules

........................

注意:设置了Symbol路径需要重新加载,否则设置的Symbol路径无效。

Symbol路径的设置同样可以指定多个路径,多个路径通过分号(;)隔开, 例如:

 
最低0.47元/天 解锁文章
万字长文读懂微软PDB、SourceLink——.net core之nuget 包调试
网尘的技术专栏
01-04 1029
在大前年,为了说服框架组采用Nuget包的形式分发框架类库,我费了老鼻子的劲也没有取得成功,其中最致命的个问题是,nuget包不能获得源码调试级的支持,在分发和包的管理形式上其比其他方案都优秀。最后折中的选择是采用源码直接引用项目的方式,这种方案对框架类库的新分支的开发不是很有利,在源码的保护上更是完全没有了保障,不过在当时场景下,也算是可以接受的方案之了。而经过这几年的发展,微软在这些方面都有了长足的发展,那跟着我,来看看能否解决各位心中的疑惑? 1. 历史悠久的PDB 当看到个人光鲜亮丽,光彩.
使用Windbg调试.Net应用程序
云计算?
12-20 437
1. 解决线上.NET应用程序的如下问题: 崩溃 CPU高 程序异常 程序Hang死 2. 安装WinDbg: http://msdn.microsoft.com/en-us/windows/hardware/gg463009.aspx 3. 配置WinDbg: 运行WinDbg-&gt;菜单-&gt;File-&gt;Symbol File Path-&gt;按照下面的方法设置_...
使用WinDbg —— .NET ()
ecjtu_luowei的专栏
07-23 855
八、 诊断实例 在这节主要讲述如何在具体的场景中运用Windbg,主要讲述些我平常工作中用的比较多的使用场景,比如怎么查看某个线程具体执行到哪行代码,调用方法时怎么传值,怎么分析查找线程栈中的变量,堆中的内存对象等。 1. 分析线程栈回溯(call stack)中某个方法(托管方法)执行到了哪步。 通常在工作中会碰到这么个场景,需要分析个Freezing的dump是
windbg使用学习
最新发布
fengdijiang的专栏
10-10 1092
本文介绍了WinDBG调试器的常用命令和符号调试技巧,主要内容包括:1. 符号路径设置与验证(.sympath);2. 模块加载与断点管理(lm、bu、bl、bc等);3. 单步调试命令(p、t、pc等);4. 死锁检测方法(!locks和!cs-l命令对比);5. 变量查看(dv)和符号重载(.reload)命令。文章重点讲解了用户态和内核态死锁的排查流程,并对比了!cs-l和!locks命令的使用场景和关键字段,为Windows平台下的程序调试提供了实用参考。
使用Windbg 调试.Net程序
ahch8077的博客
04-21 272
直都在使用.net做Windows Forms和WPF方面的开发,最近正在读 CLR via C#,初识.net核心的些东东。又由看了熊力blog上用Windbg 调试分析WPF的的些文章。 感觉Windbg这个东西还是不太容易上手的,关键是需要配置好些东西和知道些常用的指令。 下面就从安装Windbg开始说起。 使用windbg,首先要到微软网站上下载最先的windbg...
使用WinDbg —— .NET (十二)
ecjtu_luowei的专栏
07-23 758
接上: 分析总结下用到的方法: 1. 分析栈回溯信息: 通过“!dumpstack”可以打印出当前线程的所有托管和非托管的栈帧信息,输出信息表格里面第列是ChildEBP,表示子栈帧的EBP地址,也就是子方法的栈底地址;RetAddr表示当前栈帧的的返回地址,最后列Caller,Callee就是调用者和被调用者,例如这列: 0115f218 015
使用WinDbg —— .NET ()
ecjtu_luowei的专栏
07-23 1011
2. 如何找到参数值 还是先看代码: using System;   namespace TestStackMethod {     class Program     {         static void M3()         {             Console.Write("Press any key to con
使用WinDbg —— .NET ()
ecjtu_luowei的专栏
10-25 1520
6.2  终结方法 C++语言里面有个概念叫做析构函数,析构函数的语法和C#的终结方法样,都是通过“~” + 类名作为函数名。也有人把C#的终结方法叫做析构函数,然而我还是比较喜欢终结方法这种叫法,者因为C#中的终结方法的执行机制跟C++的析构函数是完全不样的,被称作析构函数容易混淆;二者因为终结方法编译后的模块中,生成的IL中能看到生成的方法名就叫做Finalize。 之前我们看到
使用WinDbg —— .NET ()
ecjtu_luowei的专栏
11-07 1831
6.4  根 根(root)的概念原本打算放在前面讲代的概念的时候提下,但是根的概念也涉及到终结队列和GC句柄表,所以不适合放在代里面讲;但是讲代的时候难免会涉及到根的相关概念,所以也不适合放在后面,这是个先有鸡还是先有蛋的问题,让人纠结,所以折中下,在前面个讲代的时候简单的提了下根的概念,主要把根的概念放在后面讲。 根其实就是指根对象,前面讲的概念里面也大多涉及到对象可不可达的问题。如
使用WinDbg —— .NET (十三)
ecjtu_luowei的专栏
08-13 1395
8.3 C#创建Mini dump 8.3.1 概述DbgHelp库 Microsoft提供了DbgHelp库,它包含了系列关于辅助调试PE格式的API。其相关的dll是DbgHelp.dll,这个文件包含在了操作系统里面,但是早期的操作系统里面(我映像中是在Win7版本之前)这个Dll文件是不可用的。所以如果你的客户还有些Win XP用户或早期版本的Windows OS用户的
使用WinDbg —— .NET ()
ecjtu_luowei的专栏
05-28 660
七、线程相关 7.1 概要 多线程导致的问题也是常见的问题,通常都是因为并发或同步导致的,为了更好的用户体验和对CPU的充分利用,并发和同步是不可或缺的编程模式。因为并发和同步难免会涉及到多线程同时访问同个资源,或同段内存,所以问题就从这初衷开始衍生,常见的问题有: 1. 读脏:读脏的意思是线程访问某个内存区域里面或者某个资源的值在读的时候是个值,在开始使用的时候又是另外个值,
Windbg+Net调式案例—信息和安装指引.pdf
10-21
windbg 调试.net程序的示例,包括cpu高,假死,内存泄露等
使用WinDbg —— .NET ()
ecjtu_luowei的专栏
05-28 967
7.2 Mutex, Semaphore 与 EventWaitHandle 首先如果要避免非原子性的操作的读脏问题,就不免涉及到线程间的通信问题,这里所说的通信是指:个线程在运行到某个地方通知其他的线程可以运行或者通知其他线程需要等待的通信,从而避免读脏问题,在Windows主要使用EventWaitHandle(奇迹般的找不到这个关键字的中文翻译)、互斥体(Mutex)、信号量(Sema
使用WinDbg —— .NET ()
ecjtu_luowei的专栏
06-02 1345
利用Windbg观察对象,包括引用类型对象,栈中和堆中的值类型实例,数组,全局静态字段和实例字段等。
windbg调试.net程序知识快速参考
omage的专栏
02-28 1120
最近因团队下个开发工程师的WPF应用存在偶尔卡顿的现象,重新温习了下windbg的知识,此次记录备忘下,以下是整理的思维导图,有点乱,哈哈。
(精华)2020年9月6日 .NET Core 程序调试Windbg(基本使用)
热门推荐
时光隧道
09-02 46万+
if (!(Test-Path -Path $PROFILE)) { New-Item -ItemType File -Path $PROFILE -Force }
使用WinDbg —— .NET ()
ecjtu_luowei的专栏
09-27 2030
六、 内存相关 内存管理直都是很大的话题,内存问题也是程序中最常见的问题。般常见的内存问题有:悬挂指针(Dangling Pointer)、重复释放(Double Free)、内存泄露(Memory Leak)。悬挂指针是指某个变量指针指向的地址内存已经被释放掉了,这个指针地址已经无效,这种错误在托管代码中已经不存在了,所以这个不讲。跟悬挂指针关系比较密切的错误是Heap Corrup
WinDbg调试.NET程序入门
weixin_33755554的博客
01-18 272
面向.Net程序员的dump分析 WinDbg调试.NET程序入门 如何用windbg分析64位机上32位程序的dump文件 转载于:https://www.cnblogs.com/tewuapple/p/8309135.html
Windows调试学习笔记:(二)WinDBG调试.NET程序示例
未来软件
03-09 478
Windows调试学习笔记:(二)WinDBG调试.NET程序示例   好不容易把环境打好了,定要试试牛刀。我创建了个极其简单的程序(如下)。让我们期待会有好的结果吧,阿门!   using System; using System.Collections.Generic; using System.Linq; using System.Text; namespace Consol...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值