windbg ANSI Command Tree 1.0
title {"Crash Dump Analysis Checklist"}
body
{"Crash Dump Analysis Checklist"}
{"General"}
  {"Versions and locations"} {"version"}
  {"Set longer stack trace"} {".kframes 100"}
{"Application crash or hang"}
  {"Default analysis (crash)"} {"!analyze -v"}
  {"Default analysis (hang)"} {"!analyze -v -hang"}
  {"Switch to x86 architecture"} {".load wow64exts; .effmach x86"}
  {"Critical sections (locked)"} {"!locks"}
  {"Modules"} {"lmv"}
  {"Threads (all)"} {"~*kv 250"}
  {"Threads (unique)"} {"!uniqstack"}
  {"Gflags"} {"!gflag"}
  {"Time consumed by thread"} {"!runaway"}
  {"PEB"} {"!peb"}
  {"TEB"} {"!teb"}
  {"Hooked functions (ntdll)"} {"!chkimg -lo 50 -d !ntdll -v"}
  {"Hooked functions (kernel32)"} {"!chkimg -lo 50 -d !kernel32 -v"}
  {"Hooked functions (user32)"} {"!chkimg -lo 50 -d !user32 -v"}
  {"Hooked functions (ALL)"} {"!for_each_module !chkimg -lo 50 -d !${@#ModuleName} -v"}
  {"Exception handlers"} {"!exchain"}
  {"Computer name"} {"!envvar COMPUTERNAME"}
  {"Stack of exception thread"} {"~#kv 250"}
  {"Stack of current thread"} {"~.kv 250"}
  {"Switch to thread"}
   {"#0"} {"~0s"}
   {"#1"} {"~1s"}
   {"#2"} {"~2s"}
   {"#3"} {"~3s"}
   {"#4"} {"~4s"}
   {"#5"} {"~5s"}
   {"#6"} {"~6s"}
   {"#7"} {"~7s"}
   {"#8"} {"~8s"}
   {"#9"} {"~9s"}
{"System hang"}
  {"Default analysis"} {"!analyze -v -hang"}
  {"ERESOURCE contention"} {"!locks"}
  {"Processes and virtual memory"} {"!vm 4"}
  {"Sorted pool consumption (paged)"} {"!poolused 4"}
  {"Sorted pool consumption (nonpaged)"} {"!poolused 3"}
  {"Waiting threads"} {"!stacks"}
  {"Critical system queues"} {"!exqueue f"}
  {"I/O"} {"!irpfind"}
  {"The list of all thread stack traces"} {"!process 0 ff"}
  {"Critical sections for current process"} {"!ntsdexts.locks"}
  {"Sessions"} {"!session"}
  {"Processes"} {"!process 0 0"}
  {"Running threads"} {"!running"}
  {"Ready threads"} {"!ready"}
  {"DPC queues"} {"!dpcs"}
  {"The list of APCs"} {"!apc"}
  {"Internal queued spinlocks"} {"!qlocks"}
  {"Computer name"} {"dS srv!srvcomputername"}
  {"Switch to processor"}
   {"#0"} {"~0s"}
   {"#1"} {"~1s"}
   {"#2"} {"~2s"}
   {"#3"} {"~3s"}
   {"#4"} {"~4s"}
   {"#5"} {"~5s"}
   {"#6"} {"~6s"}
   {"#7"} {"~7s"}
{"BSOD"}
  {"Default analysis"} {"!analyze -v"}
  {"Processes and virtual memory"} {"!vm 4"}
  {"Bugcheck callback data (prior to Windows XP SP1)"} {"!bugdump"}
  {"Bugcheck secondary callback data"} {".enumtag"}
  {"Computer name"} {"dS srv!srvcomputername"}

 

以上内容另存为.wl 文件就可以放到WinDbg安装目录中,就可以在Windbg命令行中输入.cmdtree **.wl 就可以打开该命令窗口了。

{".NET 常用命令"}
    {"!threads  显示所有线程"} {"!threads"}
    {"!eeheap -gc 查看托管堆的总信息"} {"!eeheap -gc"}
    {"!dumpheap -min 200 -stat 获取占用堆内存的各对象的统计信息"} {"!dumpheap -min 200 -stat"}
    {"!dumpheap -type Byte[] -min 200 看各Byte数组占用堆内存的详细信息"} {""}
    {"!dumpheap  显示托管堆的信息"} {"!dumpheap"}
    {"!gcroot <对象地址> 看对象引用关系"} {""}
    {"!dumpobj(!do) <对象地址> 显示一个对象的内容"} {"!do"}
    {"!dumparray  显示数组"} {"!dumparray"}
    {"!syncblk  查看哪些线程拿到了锁"} {"!syncblk"}
    {"!runaway  显示线程cpu时间"} {"!runaway"}
    {"!threadpool 查看Cpu占用率"} {"!threadpool "}
    {"!runaway 看线程的执行时间"} {"!runaway"}
    {".time看进程运行了多长时间"} {".time"}
    {"!~'*' s切换线程 ‘*’表示那个线程"} {""}
    {"!clrstack  显示调用栈"} {"!clrstack "}
    {"!dso 查看当前堆栈的所有对象"} {"!dso"}
    {"!analyze -v 分析挂掉线程的详细情形,错误原因"} {"!analyze -v"}
    {"~*e!clrstack 查看所有持有和等待锁的线程"} {"~*e!clrstack"}
     {".NET 常用命令"}
  {".load psscor2\amd64\psscor2.dll; load sos.dll"} {".load psscor2\amd64\psscor2.dll"}
  {"!threads  显示所有线程"} {"!threads"}
  {"!eeheap -gc 查看托管堆的总信息"} {"!eeheap -gc"}
  {"!dumpheap -min 200 -stat 获取占用堆内存的各对象的统计信息"} {"!dumpheap -min 200 -stat"}
  {"!dumpheap -type Byte[] -min 200 看各Byte数组占用堆内存的详细信息"} {""}
  {"!dumpheap  显示托管堆的信息"} {"!dumpheap"}
  {"!gcroot <对象地址> 看对象引用关系"} {""}
  {"!dumpobj(!do) <对象地址> 显示一个对象的内容"} {"!do"}
  {"!dumpvc <方法表地址> <值类型地址>; 导出值类型对象"}
  {"!dumparray  显示数组"} {"!dumparray"}
  {"!dumpdomain;  显示所有应用程序域"} {"!dumpdomain"}
  {"!syncblk  查看哪些线程拿到了锁"} {"!syncblk"}
  {"!runaway  显示线程cpu时间"} {"!runaway"}
  {"!threadpool 查看Cpu占用率"} {"!threadpool "}
  {"!runaway 看线程的执行时间"} {"!runaway"}
  {".time看进程运行了多长时间"} {".time"}
  {"!~'*' s切换线程 ‘*’表示那个线程"} {""}
  {"!clrstack  显示调用栈"} {"!clrstack "}
  {"!dso 查看当前堆栈的所有对象"} {"!dso"}
  {"!analyze -v 分析挂掉线程的详细情形,错误原因"} {"!analyze -v"}
  {"~*e!clrstack 查看所有持有和等待锁的线程"} {"~*e!clrstack"}
  {"!eeversion 查看SOS版本"} {"!eeversion"}

 

  !syncblk  查看同步块表的信息
  dd 将内容转储出来(用于查看内存的内容)。
   "dd 值类型数组地址,其结构为:{方法表地址}{数组维度} {数组的内容}" 注:在64位win7系统中,方法表、数组维度的地址的循序是反的,如:f953edc8 000007fe,00000005 00000000 真实的结果是:000007fef9141fb8,0000000000000005
   "dd 引用类型数组地址,其结构为:{方法表地址}{数组维度}{数组元素的方法表}{数组的内容},在64位win7系统中,地址顺序同样是反的。
  du 会把转储出来的内容视为Unicode字符
  da 会把转储出来的内容视为ACSII字符
  dw 会把转储出来的内容视为字(Word)
  db 会把转储出来的内容视为字节值和ACSII字符
  dq 会把转储出来的内容视为四字(quad Word)值
  dds <代码地址> 查看这个地址是什么函数,显示函数名
  lmvm <加载的DLL名,如clr、mscorwks> 显示加载DLL的详细信息
  kb 用于输出异常的调用栈
  !pe <地址>:得到改异常的详细描述,如异常消息等(注:改地址怎么来,1,通过调用kb得到异常的调用栈。2,找到调用栈的“mscorwks!RaiseTheExceptionInternalOnly”异常节点,取他的第一个地址如:
  “000007fe`f9e52460 : 00000000`0268aa30 00000000`00000000 00000000`00000000 00000000`00000001 : mscorwks!RaiseTheExceptionInternalOnly+0x2ff”
  异常地址就是:“0268aa30”
  )
  ~*kn:显示进程中所有线程的回溯,包含栈帧的编号。
  !PrintException <异常地址>
  000007fe`fa822460 : 00000000`0269c330 00000000`00000000 00000000`00000000 00000000`00000001 : mscorwks!RaiseTheExceptionInternalOnly+0x2ff
  异常地址要看RaiseTheExceptionInternalOnly,这个异常地址就为0269c330
  !Threads 可以显示所有托管线程的信息,并能显示出各线程的最后一个异常。包括异常地址
  !threads -live 显示处于活跃状态的线程
  !threads -special:输出进程中所有“特殊的”线程,如,垃圾回收线程,调试器线程,线程池定时线程
  !u <代码地址> 反汇编
  !U <代码地址> 反汇编并带有托管代码
  !ip2md <代码地址>:将托管代码地址转换为一种方法描述符
  SOSEX命令:
  !bpsc  推荐用 !mbp <.CS 文件名> <行号> "设置断点"
  !bpmd <执行的EXE或DLL> <方法名> 在某个方法中设置断点
  !mbm 在IL代码中设置断点
  !mbl 显示所有设置断点列表
  !mbc 从列表中清除指定断点,或清除所有断点
  !mbd 禁用列表中指定断点,或禁用所有断点
  !mbe 启用列表中的指定断点,或启用所有断点
  !mx <查询字符串> :快速找出相应的元数据,如,类型名、方法名
  !mln <地址>:可以识别出该地址上内容相关的托管代码
  !mk:显示托管、非托管代码的栈帧外,还能显示栈帧的编号
  !mdv <栈帧编号> 显示栈帧的局部变量
  !mdv -w:显示所有调用栈 的参数和局部变量。
  !mdt <地址> (显示包括[typename|paramname|localname|mt|addr]) :他可以显示托管代码的局部变量,全局变量,或某个数据类型的信息
  !mdt <地址> -r 递归显示所有嵌套对象的MDT,并输出相应的值
  !dlk :找到那些线程可能发生死锁的过程的详细信息
  !gcgen <托管堆上的对象地址> :显示该对象所属的代
  !dumpgen <第*代>:显示参考中第*代有那些对象
  !strings [-g|-m|-n|-x]:搜索托管堆上的任意字符串
  !strings -m:<查询字符串> 可以用通配符*
  -g:在指定代中搜索
  -n:字符串的最小长度
  -x:字符串的最大长度
  ------------------------------------------------------
  bp <地址>:在非托管代码中设置断点.
  !dumpmt -md <地址>  得到指定方法表的描述符(就是该类有那些方法)
  lm 用来加载完程序的其它模块(相当DLL)
  ln<地址> 查看该地址能否被解析为代码
  .load sosex_64\sosex.dll
  .load psscor2\amd64\psscor2.dll
  .loadby sos.dll mscorwks
  .dump 生成dump文件
  .dump /ma <文件路径>
  ntsd.exe -p <进程ID> 调试一个在运行的进程
  ntsd.exe -g <调试程序路径>   -g表示不希望调试器在初始启用时停止程序的执行。
  ntsd.exe -G <调试程序路径>   -G每当调试目标准备退出时,调试器也将停止执行。
  ntsd.exe -z <dump文件>:调试一个dump文件
  类型句柄指向的是某个类型的方法表
  --------------------------------------------------
  .sympath <符号文件路径>
  .symfix  将符号路径自动设置为Microsoft公用的符号服务器。 加载符号
  .reload  找到进程地址空间所有已加载的模块,并尝试找出各模块相关的符号文件。
  Ctrl+C 中断执行
  g 恢复执行
  p(step)和t(trace) 单步调试
  pc 重复执行所有指令
  pt 会一直执行指令,直到遇到一个ret指令
  ta <address>:执行到address指定的地址,并且将包含被调用函数的单步执行显示出来。
  tc:执行到下一个call指令,并且将包含被调用函数的单步执行显示出来。
  tt:执行到下一个ret指定, 并且将包含被调用函数的单步执行显示出来。
  r 将寄存器转储出来 ->esp、rsp:保存的是当前栈指针
  k[参数]:显示非托管调用栈信息
  kn:显示非托管代码调用栈信息
  !ClrStack :显示托管代码调用栈信息
  !clrstack -l 显示局部变量信息
  !clrstack -p 显示参数信息
  !clrstack -a 合并显示局部变量和参数信息
  !dumpstack: 同时显示托管代码、非托管代码调用栈信息
  !dumpstack -ee:只显示托管代码的调用栈信息
  !eestack:显示所有托管线程的调用栈
  q:结束调度会话并终止调试目标。
  qd(quit and detach):结束调试会话,但让调试目标继续运行。
  .loadby <DLL名字> <模块名字>
  sxe ld <加载的DLL mscorwkds.dll>:当加载完该DLL后,调试器停止等待用户加载其它DLL
  sxe clr 告诉调试器在所有托管异常上都停止执行
  .cordll:在事后调试可能出现mscorwks.dll与mscordacwks.dll的版本不匹配造成不正确调试,可以使用此命令。
  .cordll -lp <mscordacwks.dll 的路径>:-lp 是用于指定mscordacwks.dll的新路径。
  .cordll -u <mscordacwks.dll 的路径>:-lp 是用于卸载mscordacwks.dll。

  !name2ee <模块名字> <类型或方法名> 检查函数是否已经被JIT编译器编译,找出类型、方法的描述符
  !do: dump出引用类型的值。
  !do -nofields 只显示内容不会显字符串类型中的各个域
  !da(!DumpArray)[-start <数组那个索引开始>] [-length<显示数组多少个元素>] [-details] [-nofields] 数据地址
  [-details] 显示数组的详细信息,包括具体值。
  [-nofields] 只显示内容不会显字符串类型中的各个域
  dump 出栈上的对象:
  !DumpStackObjects [-verify] [top stack [bottom stack]]
  -verify 表示对每天托管对象进行一次验证过程
  !dumpheap:dump堆中的所有对象
  !dumpheap -type <类型,包括命名空间> :dump堆中的指定对象
  !dumpheap -mt <方法表地址> :dump堆中的指定对象
  !dumpheap -min <最小内存大小> :dump堆中大于指定内存的对象
  !dumpheap -startAtLowerBound <开始地址> 显示该地址块中有那些对象。
  !dumpheap -thinlock:查看堆上所有瘦锁对象
  !dumpheap -stat 统计堆中各对象的个数,类型于sql中的group by
  !ObjSize <对象的地址> 找到对象的大小
  !eeversion 显示.net 版本和SOS版本信息
  !eeheap -gc: 查看托管堆的总信息,包括各代的起始地址
  !FinalizeQueue:查看进程中可以终结的对象
  !syncblk:它将输出某个线程中所有对象的同步块,查看哪些线程拿到了锁
  如何找出某个对象的同步块索引?
  对象指针指向的是类型句柄域,然后才是实际的对象数据,类型句柄前的4个字节同样是内存布局的一部分,其中包含了对象的对象头。
  如何得到对象头的索引?
  通过dd将对象的地址(指针)减去4个字节即可
  对象头的位掩码如果是“0x08000000”表示一个正在处理一个同步块索引
C:\Users\ADMINI~1\AppData\Local\Temp\MyTools (2).DMP

C:\Windows\Microsoft.NET\Framework\v4.0.30319\clr.dll

C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll

C:\Windows\System32\mscoree.dll

.NET 调试入门(三)常用的命令的更多相关文章

  1. 【旧文章搬运】Windbg+Vmware驱动调试入门(三)---Windbg基本调试入门

    原文发表于百度空间,2009-01-09========================================================================== 这一节的内 ...

  2. linux调试环境时常用的命令 及 常识

    1.查找文件或文件夹 所在的目录 sudo find / -name your_filename 示例: wangju@wangju-HP--G4:~$ sudo find / -name .jenk ...

  3. Docker for windows 入门三(PowerShell命令使用)

  4. 02_快捷键及常用DOS命令

    快捷键 一. 电脑快捷键 Ctrl + C:复制 Ctrl+ V:粘贴 Ctrl+ A:全选 Ctrl+ S:保存 Ctrl+ Z:撤销 Ctrl+ X:剪切 Alt + F4:关闭窗口 Shift ...

  5. Git快速入门和常用命令

    一.快速入门 本地初始化一个项目 首先,你需要执行下面两条命令,作为 git 的基础配置,作用是告诉 git 你是谁,你输入的信息将出现在你创建的提交中. git config --global us ...

  6. Linux入门之常用命令(15) lsof

    查看磁盘空间: [root@ticketb ~]# df -h Filesystem Size Used Avail Use% Mounted on /dev/sda1 981M 203M 729M ...

  7. Hexo系列(三) 常用命令详解

    Hexo 框架可以帮助我们快速创建一个属于自己的博客网站,熟悉 Hexo 框架提供的命令有利于我们管理博客 1.hexo init hexo init 命令用于初始化本地文件夹为网站的根目录 $ he ...

  8. Git 入门和常用命令详解

    git 使用使用教程   git 使用简易指南  常用 Git 命令清单 下载   https://git-scm.com/downloads 工作流 本地仓库由三部分组成. 工作区:保存实际的文件( ...

  9. Docker 入门指南——常用命令

    前面已经介绍了 Docker 的安装方式,本文总结一下使用 Docker 的基本概念和常用命令. 基本概念 镜像 Image 镜像是一些打包好的已有的环境,可以被用来启动和创建容器 容器 Contai ...

  10. linux系统入门一些常用命令解析

    接触IT行业的时候,就使用了ubuntu系统做开发,那个时候是一头雾水,从习惯了window下的界面操作,到终端下的命令行操作,着实一开始让人很不习惯.但是没办法,那个时候公司每个人都用Ubuntu系 ...

随机推荐

  1. django提交post请求

    在做post的时候,view.py用到了下面的方法,如果是POST的method,就通过request.POTST['XX']获得html中name为XX的值,然后将值save到数据库里 models ...

  2. Linux 查看当前时间

    一.查看和修改Linux的时区1. 查看当前时区命令 : "date -R"2. 修改设置Linux服务器时区方法 A命令 : "tzselect"方法 B 仅 ...

  3. input radio 与label文字对齐

    input{ vertical-align:middle; margin-bottom:2px; *margin-bottom:2px; } 原地址

  4. SQL Server多条件查询的实现

    SQL Server多条件查询的实现 SQL Server多条件查询我们经常会用到,下面就教您如何使用存储过程实现SQL Server多条件查询,希望对您学习SQL Server多条件查询方面有所帮助 ...

  5. CentOS 安装 Docker CE

    准备工作 系统要求 Docker CE 支持 64 位版本 CentOS 7,并且要求内核版本不低于 3.10. CentOS 7 满足最低内核的要求,但由于内核版本比较低,部分功能(如 overla ...

  6. dede后台一片空白

    原因是你修改了后台的数据库连接信息文件data/common.inc.php,保存的后文件编码并不是utf-8,而是变成了ANSI或utf-8 + bom的. 解决方法: 用editplus或note ...

  7. linux引导系统

    一.linux引导系统 1.选择操作系统 /etc/grub.conf 设置grub引导装载程序口令,使用单用户模式时必须输入此密码 password --md5 md5后的密码字符串(可以通过gru ...

  8. webkit开源项目

    WebKitOpen Source Web Browser Engine Blog Downloads Feature Status Reporting Bugs Contribute Getting ...

  9. POJ 1135.Domino Effect Dijkastra算法

    Domino Effect Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 10325   Accepted: 2560 De ...

  10. tomcat 时间相差8个小时,百度上查到的,备份下

    通常网上一查都是 修改 tomcat 的参数 ,如catalina 文件,jvm parameters 等.如果都不起作用,可以使用如下方式.. 你可以修改jdk的时间校正了,你这么来.进入 \hom ...