windbg调试windows下的程序

最新推荐文章于 2025-03-07 21:55:05 发布
最新推荐文章于 2025-03-07 21:55:05 发布
阅读量543 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lineuman/article/details/70544154
本文介绍了使用WinDbg进行调试的基础步骤,包括查看官方文档、附加到被调试进程及使用调试命令等内容。针对符号表缺失的问题,给出了使用.symfix设置路径的解决方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一步:查看官方帮助文档

Microsoft Windows Debugger (WinDbg) is a powerful Windows-based debugging tool. It is capable of both user-mode and kernel-mode debugging.


第二步:attach到被调试进程

windbg中有如下提示,没有符号表

*** wait with pending attach
Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path.           *
* Use .symfix to have the debugger choose a symbol path.                   *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************

所以我要搞清楚,什么是符号表?


第三步:debuger命令

?显示帮助

使用Windbg调试目标程序去分析异常的两实战案例分享
dvlinker的技术专栏
02-22 2万+
使用Windbg动态调试目标程序去分析异常的两实战案例分享。
使用Windbg调试目标进程的一般步骤及要点详解
热门推荐
dvlinker的技术专栏
06-04 3万+
本文以一个具体的崩溃实例来详细讲述使用Windbg动态调试目标进程的一般步骤及相关要点。
windbg调试入门(一)
m0_60558754的博客
06-24 605
在编写完成后,右键点击项目生成,然后在文件夹中查看,生成的Project1.exe程序和Project1.pdb文件,其中pdb文件为存储的符号表,需要和exe的生成版本,或者生产时间保持一致。最后调试完毕后,使用qd退出当前运行的程序,对于已经调试到崩溃步骤的程序,如果想重新调试,则需要重新launch exe,使用reload命令则无法重新加载。在这个程序中,c的值被赋为0,当带入到func函数中的计算y时候,除0计算会导致程序崩溃,无法按期执行打印后面的x和y的值。在下面的0:000>位置输入命令。
使用WinDbg调试程序
wangweixing2000
05-17 3507
什么是WinDBGWinDbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。由于大部分程序员不需要做Kernel模式调试, 我在这篇文章中不会介绍Kernel模式调试。Kernel模式调试对学习Windows核心极有帮助。如果你对此感兴趣,可以阅读Inside Windows 2000和Windbg所带的帮助文件。 
windbg调试程序
cai0612123的专栏
11-22 1261
1.取消编译优化选择,将编译后的binary 及其 符号文件放入 bin下 2.设置gflags.exe,在程序刚启动就将其捕获   3. 进程:DoScan.exe在windbg.exe 设置如下: (1)加载符号文件 0:000> .reload /f doscan.exe 0:000> .reload /f cliproxy.dll "cliproxy.dll" was n
使用windbg调试程序
hanxiaoyong_的博客
10-08 478
使用WinDbg调试程序 - gmplayer - 博客园
Windows 11 版本 WDK中windbg调试插件
07-22
在这个特定的压缩包中,我们关注的是`win11WDKvVS2019WindbgExtension`,这是一个用于Windbg调试器的插件。 Windbg是微软提供的一个强大的调试工具,它允许开发者对内核模式和用户模式的应用程序以及驱动程序进行...
Windows 调试程序 (WinDbg)
01-14
**Windows调试程序(WinDbg)** WinDbg是一款强大的调试工具,由Microsoft提供,用于对Windows操作系统进行内核模式和用户模式的调试。这款工具是Windows开发和故障排除过程中的得力助手,尤其在处理崩溃、性能问题或...
适用于 Windows 10 版本 1809 WDK中windbg调试插件
09-02
总之,"适用于 Windows 10 版本 1809 WDK 中的 Windbg 调试插件"对于任何在该平台上进行驱动程序开发的工程师来说都是宝贵的资源。结合 Visual Studio 2017,开发者可以实现更高效的驱动程序调试,从而提升软件质量...
WinDbg 调试程序崩溃操作详解
11-10
作者有10多年编程,调试经验,详解关于Windows 平台下程序崩溃的Windbg调试方法及技巧;附带工具介绍 适合于分析C++等语言, .Net 平台等快速入门及提高
如何使用WinDbg调试程序.pdf
05-29
如何使用WinDbg调试程序.pdf
Windbg程序调试--转载
weixin_30266885的博客
07-02 114
https://www.cnblogs.com/fang-beny/p/3582653.html Windbg程序调试--转载 转载于:https://www.cnblogs.com/timeObjserver/p/11121728.html
使用WinDbg进行动态调试
new9232的博客
09-09 1764
本文章主要介绍如何使用WinDbg进行动态调试。如果程序崩溃后,没有记录dump文件,或者程序启动时发生异常,比如常见的 应用程序无法正常启动(0xc000007b) 报错,都可以使用WinDbg动态调试功能来定位问题。文章最后,对WinDbg常用命令进行了总结。
调试winddows程序
nokianasty的专栏
03-12 2665
调试winddows程序(windbg 和 Debug Diagnostic Tool) 2012-08-25 23:34:05 一、功能: 调试不在编译器中运行的程序。可以解决一下两种问题。 1、 程序崩溃,能找到程序报错是运行的代码行。 2、 程序涨内存,直接定位到导致内存泄漏的语句。(这个在Debug Diagnostic Tool中使用很简单) 二、用法
windbg调试
weixin_44764579的博客
10-31 1201
windbg作为windows平台进行堆栈分析、排查错误的利器
调试工具 - Windbg
dxf1971738522的博客
03-07 4934
基于Windbg的dump文件分析和内核驱动调试
WinDbg】使用WinDbg调试程序(本机调试32应用程序
qq_36308972的博客
03-26 946
WinDbg调试 File->OpenExecutable,打开要调试程序(可以附加命令行) 在windbg窗口底部附近的命令行中,输入以下命令:.sympath srv* 或 在File->Symbol File Path输入符号所在路径;符号路径添加后,可以调用.reload加载符号(符号相关其他命令:https://www.cnblogs.com/yilang/p/1146...
如何用Windbg调试Windows内核驱动程序
最新发布
07-26
<think>嗯,用户想学习如何使用Windbg调试Windows内核驱动程序。这是一个相当专业的系统级调试需求,用户可能是驱动开发者或系统安全研究员。从提问的精准度来看,用户应该有一定Windows底层基础,但可能刚接触内核调试。 用户提供的引用材料很有价值,特别是引用[2]详细描述了双机调试的命令行参数配置。不过这些引用信息比较零散,需要我整合成完整的操作流程。核心难点在于:1) 虚拟机管道配置 2) 符号路径设置 3) 断点触发机制。 注意到用户特别强调"系统级指令"要求:所有数学公式必须用$...$包裹,独立公式用$$...$$。虽然当前问题不涉及数学公式,但后续若涉及驱动内存分析可能需要。例如计算地址偏移时可能需要类似$offset = base + index\times 4$的行内表达式。 准备分五步构建回答:环境配置->符号设置->断点技巧->调试流程->常见命令。其中符号路径设置是新手最容易出错的地方,引用[4]的警告信息恰恰印证了这点,需要重点强调.symfix命令的使用。 对于驱动调试特有的挑战:1) 非即插即用驱动需手动加载 2) 需要特殊命令查看驱动对象 3) 内核崩溃分析。引用[3]提到的SSDT虽然高级,但首次调试可能用不到,放在进阶技巧里更合适。 最后生成的问题要覆盖用户可能遇到的痛点:调试连接失败怎么办?如何分析蓝屏?这些在引用[2][4]都有线索。特别要提醒虚拟机串口配置的坑——很多教程省略了Hyper-V的COM端口重定向步骤。</think>以下是使用WinDbg调试Windows内核驱动程序的详细步骤,结合双机调试环境搭建(主机调试机 + 虚拟机目标机): --- ### **一、环境准备** 1. **硬件/软件要求** - 主机(调试机):安装WinDbg(建议使用[WDK](https://learn.microsoft.com/zh-cn/windows-hardware/drivers/download-the-wdk)内置版本) - 目标机:虚拟机(VMware/VirtualBox/Hyper-V),运行待调试Windows系统 - 确保主机与目标机网络互通(或通过串行管道通信) 2. **配置目标机(虚拟机)** - **启用内核调试**: 在虚拟机配置中添加串行端口(命名管道),例如: ```plaintext \\.\pipe\com_WIN7_64 // 名称需唯一 ``` - VMware:设置 → 添加串行端口 → 输出命名管道 - Hyper-V:使用`Set-VMComPort`命令配置管道[^2] - **修改启动项**(可选): 在目标机管理员终端运行: ```cmd bcdedit /debug on bcdedit /dbgsettings serial debugport:1 baudrate:115200 ``` --- ### **二、WinDbg连接配置** 1. **启动WinDbg(主机端)** 使用命令(替换路径和管道名): ```cmd "C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe" -k com:pipe,port=\\.\pipe\com_WIN7_64,baud=115200,resets=0 ``` - `-k`:内核调试模式 - `baudrate`需与目标机一致(默认115200)[^2] 2. **设置符号路径** 连接成功后,在WinDbg中加载符号: ```windbg .symfix C:\SymbolsCache // 设置本地符号缓存 .sympath+ SRV*C:\SymbolsCache*https://msdl.microsoft.com/download/symbols // 添加微软符号服务器 .reload /f // 强制重载符号 ``` > 💡 符号缺失会导致无法解析函数名/地址,引用[4]的报错即因未配置符号路径。 --- ### **三、调试驱动程序** #### **1. 加载驱动** - 在目标机加载驱动(管理员权限): ```cmd sc create MyDriver binPath= C:\drivers\mydriver.sys type= kernel sc start MyDriver ``` #### **2. 设置断点** - **在驱动入口点断点**(假设驱动对象名为`MyDriver`): ```windbg bp MyDriver!DriverEntry // 驱动入口函数 ``` - **内核API断点**(如监视SSDT调用[^3]): ```windbg bp nt!NtCreateFile ``` #### **3. 触发断点** - 在目标机执行触发驱动功能的操作(如调用设备IO控制) - WinDbg中断后,使用命令查看状态: ```windbg k // 查看调用栈 dv // 显示局部变量 dt _DRIVER_OBJECT @rcx // 查看驱动对象结构(x64中rcx存储第一个参数) ``` #### **4. 单步调试** - `t`:单步步入(Step Into) - `p`:单步步过(Step Over) - `g`:继续执行(Go) --- ### **四、关键调试命令速查** | 命令 | 用途 | |---------------|-----------------------------| | `!drvobj <驱动地址>` | 查看驱动对象详细信息 | | `!process 0 0` | 列出所有进程 | | `.reload /f` | 强制重载符号 | | `lm vm MyDriver` | 查看驱动模块内存范围 | | `!analyze -v` | 分析蓝屏错误(Crash Dump) | --- ### **五、常见问题解决** - **连接失败**:检查虚拟机串口配置是否与WinDbg命令一致(管道名、波特率)[^2]。 - **符号加载失败**: 使用`.sympath`检查路径,确保`https://msdl.microsoft.com/download/symbols`可访问。 - **断点未命中**: 确认驱动已加载(`lm`查看模块),函数名无拼写错误。 > 调试示例:通过修改SSDT表拦截系统调用(需谨慎操作)[^3] > ```windbg > dd KeServiceDescriptorTable // 查看SSDT基址 > ed SSDT_Address+Offset New_Address // 替换函数地址 > ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值