WinDbg命令详解--进程

最新推荐文章于 2025-07-18 20:06:10 发布
原创 最新推荐文章于 2025-07-18 20:06:10 发布 · 2.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Windbg中常用的命令,包括查看进程信息、线程和进程环境块详情、模块信息、句柄表及堆信息等,是进行系统调试和故障排查的实用指南。
  • 指令列表
    .tlist					查看进程简要信息:进程号和进程名称
.tlist					查看进程详细信息:进程号和进程名称,命令行参数,SessionID,用户等信息
!teb					线程块环境信息
!peb					进程块环境信息
lm						查看模块的简要信息
lm -v					查看模块的相信信息
!handle					查看句柄表信息
!handle id				查看特定的句柄信息
!handle id 3			查看特定的句柄详细信息
!heap					进程堆信息
!heap 00150000			特定堆信息
!heap -a 00150000		特定堆的详细信息

Windbg常用命令详解
dvlinker的技术专栏
06-28 1万+
本文详细介绍Windbg常用命令
Windbg使用详解
热门推荐
dvlinker的技术专栏
10-07 5万+
本文详细介绍了Windows调试工具Windbg的安装与使用,并给出多个实战问题分析实例。
WinDBG 技巧:显示进程/线程环境参数(!peb 和 !teb 命令)
编程开发资料库
03-06 443
首先介绍PEB和TEB概念: PEB(Process Environment Block,进程环境块)存放进程信息,每个进程都有自己的PEB信息。位于用户地址空间。 TEB(Thread Environment Block,线程环境块)系统在此TEB中保存频繁使用的线程相关的数据。位于用户地址空间,在比 PEB 所在地址低的地方。进程中的每个线程都有自己的一个TEB。 调试的程序...
Windbg查看进程工作集页面
12-01
一个进程使用 new 函数申请内存,并用dd 命令查看内存中的页面情况。
WinDbg命令
最新发布
随手写下笔记和感悟
07-18 319
附加源代码代码路径:符号可以设置远程服务器下断点:bp列出断点:bl打开源代码文件:推荐用-a指定模块来打开文件或者输入完整路径bc *会清除所有断点bc <断点ID>清除特定断点bd *禁用所有断点(不删除,后续可通过be *重新启用)bu设置的断点会被保存到工作空间,即使清除后重新加载工作空间仍会恢复,需通过bc *再次清\除.excr(显示异常上下文记录).call(调用函数)??(计算 C++ 表达式)
windbg调试进程
Lady__Killer的博客
12-02 2680
1、启动windbg,打开File菜单,选择Open Executable,选择需要调试进程目标文件 把Debug child processes also勾上,点击打开。 2、查看进程 1:023> |    0 id: 2e40 create name: nginx.exe    1 id: 2208 child name: BTest.exe .  2
windbg学习---!process
weixin_30408165的博客
03-02 575
!process 0 0 显示进程列表: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 825b7830 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000 DirBase: 02b40020 ObjectTable: e1003e...
利用windbg探索进程进程上下文
一介渔夫
10-18 1万+
1.列出所有活动进程 使用!process命令可以打印出活动进程的信息。第一个参数是要打印的EPROCESS的地址,如果指定为0则表示打印所有的进程。第二个参数用于说明打印进程信息的详细级别。指定0则表示打印最简单的信息。 0: kd> !process 0 0 **** NT ACTIVE PROCESS DUMP **** PROCESS 821b7490 Session
使用Windbg调试目标进程的一般步骤及要点详解
dvlinker的技术专栏
06-04 3万+
本文以一个具体的崩溃实例来详细讲述使用Windbg动态调试目标进程的一般步骤及相关要点。
WinDBG命令详解及中英文版对比
### WinDBG命令主题分类详解知识点: 1. **WinDBG的基本概念与用途**: - WinDBG是一个命令行驱动的程序,它允许用户对Windows操作系统中的进程和内核进行深入的调试分析。 - 它通常用于开发者调试驱动程序和系统...
WinDbg命令详解调试工具全面指南
2) 常用WinDbg命令:包括`version`和`vercommand`等,用于查看调试器及其扩展的版本信息,以及执行各种操作,如清空屏幕。 3) 调试会话管理:如附加和分离进程,这些功能允许调试器连接到运行中的进程或断开连接。 ...
观察进程线程的数据结构
11-28
详细介绍了在Windows Server 2008下用windbg调试工具查看进程和线程结构体和其他跟进程线程相关的东西。
使用Windbg知道程序运行时的命令行参数.
weixin_30258027的博客
09-07 176
如何才能一个程序运行时的command line arguments是什么?其实这个信息被记录在了进程的process environment block中,我们可以用Windbg很方便的找出这个信息。 比如说,我在cmd上打开一个notepad, 如下 当notepad运行起来以后,使用windbg attach到notepad, 然后使用命令!peb打印出process environ...
[windbg] 进程、线程
LYSM
04-07 1129
查看所有进程信息 !process 0 0 查看当前进程信息 !process -1 1 查看指定进程名信息 !process 0 0 test.exe
windbg 查看某个进程EPOCESS结构
huanongying131的博客
12-07 2165
转:http://blog.sina.com.cn/s/blog_5ddb672b01017xrh.html windbg 查看某个进程EPOCESS结构,debugport清零 内核调试下 1. !process 0 0 列出所有进程的信息 lkd&gt; !process 0 0 Unable to read selector for PCR for processor 0 ***...
[WinDBG 技巧] 列举所有Handle(句柄)以及查看Handle 信息
weixin_33953249的博客
05-22 408
WinDBG的 !handle 命令可以让你方便调试句柄(handle)。 查看进程内所有句柄, 输入命令行 0:014&gt; !handleHandle 4  Type          DirectoryHandle 8  Type          ProcessHandle c  Type          KeyHandle 10  Type          MutantHa...
使用windbg查看进程导入表
momodeconger的博客
04-13 461
查看INT表(桥1)每4个字节代表一个导入函数的地址,一共从msvcp140d.dll中导入了14个函数。由于_IMAGE_DOS_HEADER这个结构属于ntdll,所以使用下面的命令,反汇编7978aec0,这个地址对应的就是我们通过INT找到的函数。查看第一个函数的名字和序号,前2个字节是序号,后面是函数的名称。查看IAT表(函数地址表),每4个字节对应一个函数的虚拟地址。其中,0n224就是NT头的位置(这是一个RVA)查看导入表内容,每个dll对应20个字节。查看导入的dll的名字。
记录windbg调试使用
weixin_41725706的博客
11-05 830
x64windbg调试进程和线程结构体
在windows下查看某个运行程序(或进程)的命令行参数
weixin_38166726的博客
06-24 851
在windows下查看某个运行程序(或进程)的命令行参数使用下面的命令:wmic process get caption,commandline /value如果想查询某一个进程命令行参数,使用下列方式:wmic process where caption=”svchost.exe” get caption,commandline /value这样就可以得到进程的可执行文件位置等信息。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值