Arbboter的专栏

g是执行命令，可以指定从某处执行，也可以在执行到某处时断下，如 :g = 00423aef 00423af3修改当前eip为00423aef，执行到00423af3处中断当然也可以让某个线程继续执行，而其他的线程处在冻结状态。如：~1 g 一号线程继续执行p 单步步过t 单步步入gu 执行到返回gc 从断点处继续执行，用在条件断点内gn 忽略异常继续执行。允

$vvalid 判断一个地址是否无效.formats 格式化数值!gle 返回最近的错误码指令!error 查询错误码含义.lastevent 查看最后一次事件信息version 查看版本信息vertarger 查看版本信息.dump 生成DMP命令.ert 显示异常记录.cxr 显示上下文记录

源代码.srcpath 设置本地源码和查看源码路径.srcfix 设置一个指向源码服务器的路径命令lsa 显示某一处地址源代码.open 打开源码文件lsf 加载源码文件lsf - 卸载源码文件调试符号(PDB).sympath 设置本地符号和查看符号路径.symfix 设置一个指向微软符号服务器的路径命令.relo

windbg + windbg方式两边都是windbg。windbg本身支持的链接类型有很多：tcp、pipe、com、ssl等。这里只介绍tcp方式设置方法：目标机器（需要设置端口）方式一：通过命令行windbg.exe - server tcp : port = 12345方式二：windbg运行过程中使用命令.server tcp : port = 12345

## 显示汇编指令 : uu 向下反汇编ub 向上反汇编uf 反汇编整个函数a 写入汇编指令

111

dv显示本层局部变量信息，常用的参数：/ i 显示变量是局部的、全局的、参数、还是函数等信息/ v 显示变量所在地址/ t 显示变量的类型dt命令显示局部变量、全局变量或数据类型的信息。它也可以仅显示数据类型。即结构和联合(union)的信息。d*命令显示给定范围内存的内容。d, da, db, dc, dd, dD, df, dp, dq, du, dw, dW, dyb, dy

k指令单独使用时，只显示栈地址、返回地址、函数名信息。如果需要其他信息需要使用参数，常见的有：b 显示函数调用时的前三个参数c 只显示函数名p 显示函数的所有参数，包括参数的名字、类型、值。v 显示帧指针遗漏(FPO)信息。在基于x86处理器, 显示器还包括调用约定信息n 显示调用栈的每帧编号f 显示调用栈的每帧占用字节数默认情况下使用k显

线程命令是以~开始，后面跟线程id（一个windbg从0开始的一个编号），或者.,#,*等，可和其他命令混合使用。~ 简洁地显示当前进程的所有线程，~. 表示当前线程~# 表示异常或者产生调试事件的线程~* 表示所有线程~1 表示一号线程~2 s 表示选择2号线程作为当前线程~3 f 冻结三号线程~3 u 解冻三号线程~2 n

分配内存指令：.dvalloc.dvalloc指令类似与VirtualAlloc函数。可以指定分配的大小、类型（MEM_RESERVE | MEM_COMMIT）(加上参数 / r，申请的内存类型为MEM_RESERVE。默认为MEM_COMMIT)、起始地址(加上参数 / b)使用.dvalloc分配的内存都是PAGE_EXECUTE_READWRITE属性释放内存指令 :

指令列表.tlist 查看进程简要信息：进程号和进程名称.tlist 查看进程详细信息：进程号和进程名称，命令行参数，SessionID，用户等信息!teb 线程块环境信息!peb 进程块环境信息lm 查看模块的简要信息lm -v 查看模块的相信信息!handle 查看句柄表信息!handle id 查看特定的句柄信息

标准命令B[C|D|E][] - clear/disable/enable breakpoint(s)BL - list breakpointsBA - set processor breakpointBP - set soft breakpointD[type][] - dump memoryDT [-n|y] [[mod!]name] [[-n|y]fields] [a

作用可以再程序崩溃后保留崩溃现场，方便事后查找程序的崩溃原因。前提是奔溃程序所对应的代码和PDB文件都是匹配的（发布程序的时候，保留源代码和PDB文件）。代码示例原理是使用DbgHelp的自定义未处理异常来保留崩溃现场到文件的，使用直接包含该头文件，然后再main函数的开始就调用EnableAutoDump函数。// pro_dump.h// 包含本文件是