!peb 简介 !peb显示进程环境块(PEB)中信息的格式化视图. 使用形式 !peb [PEB-Address] 参数 PEB-Address要检查其PEB的进程的十六进制地址.(这不是从进程的内核进程块派生的PEB地址.)如果在用户模式中省略PEB地址,则使用当前进程的PEB.如果在内核模式下忽略它,则显示与当前进程上下文相对应的PEB. 支持环境 Windows 2000 Kdextx86.dll Ntsdexts.dll Windows XP 及更高版本 Exts.dll 备注 PEB…

.cmdtree 简介 使用形式 .cmdtree cmdfile 参数 cmdfile命令文件,包含多个你需要的命令.必须是一个文本档 使用步骤 1.使用命令创建文本文件test.wl,使用以下示例作为模板.您可以按所需方式修改{}之间的节: windbg ANSI Command Tree 1.0 title {"Common Commands"} body {"Common Commands"} {"Information"} {"…

dg (Display Selector) dg命令显示指定选择器的段描述符. dg FirstSelector [LastSelector] 参数: FirstSelector指定要显示的第一个选择器的十六进制选择器值. LastSelector指定要显示的最后一个选择器的十六进制选择器值.如果省略,则只显示一个选择器. 此命令最多只能显示256个选择器.常用选择器值为: ID 十进制 十六进制 KGDT_NULL 0 0x00 KGDT_R0_CODE 8 0x08 KGDT_R0_DATA…

简介 这个!uniqstack扩展扩展显示的所有线程的堆栈的所有当前进程,不包括显示为具有重复项的堆栈中. 使用形式 !uniqstack [ -b | -v | -p ] [ -n ] 参数 -b将导致显示以包括前三个参数传递给每个函数. -v将导致显示以包括帧指针省略 (FPO) 信息. 在基于 x86 的处理器中,还会显示的调用约定信息. -p将导致显示堆栈跟踪中包含每个函数的完整参数. 此列表将包括每个参数的数据类型. 名称和值. 这要求的完整符号信息. -n导致要显示的帧号码. 环境支…

.write_cmd_hist 简介 .write_cmd_hist命令将调试器命令窗口的整个历史记录写入文件. 使用形式 .write_cmd_hist Filename 参数 Filename指定要创建的文件的路径和文件名. 支持环境 此命令仅在 WinDbg 中可用,并能在脚本文件. 模式 用户模式下,内核模式 目标 实时. 崩溃转储 平台 全部…

!teb 简介 !teb扩展显示线程环境块(teb)中信息的格式化视图. 使用形式 !teb [TEB-Address] 参数 TEB-Address 要检查其TEB的线程的十六进制地址.(这不是从线程的内核线程块派生的TEB地址.)如果在用户模式中省略了TEB地址,则使用当前线程的TEB.如果在内核模式下省略,则显示与当前寄存器上下文相对应的TEB. 备注 TEB是Microsoft Windows线程控制结构的用户模式部分.如果!teb扩展没有参数时,在内核模式下会给您一个错误,您应该使用!…

!handle 简介 !handle扩展显示有关目标系统中一个或所有进程拥有的一个或多个句柄的信息. 使用形式 用户模式!handle [Handle [UMFlags [TypeName]]] !handle -? 内核模式!handle [Handle [KMFlags [Process [TypeName]]]] 参数 Handle指定要显示的句柄的索引.如果Handle为-1或省略此参数,调试器将显示与当前进程关联的所有句柄的数据.如果句柄为0,调试器将显示所有句柄的数据. UMFlag…

!envvar 简介 !envvar扩展命令显示特定环境变量的值. 使用形式 !envvar Variable 参数 Variable指定显示其值的环境变量.变量不区分大小写. 环境 Windows 2000 不可用 Windows XP 及更高版本 Exts.dll 备注 这个!envvar扩展在用户模式和内核模式下都可以工作.但是,在内核模式下,当您将空闲线程设置为当前进程时,指向进程环境块(PEB)的指针为空,因此失败.在内核模式下!envvar扩展显示目标计算机上的环境变量,如下例所示:…

!address 这个!address扩展命令显示有关目标进程或目标计算机使用的内存的信息. 用户模式: !address Address !address -summary !address [-f:F1,F2,...] {[-o:{csv | tsv | 1}] | [-c:"Command"]} !address -? | -help 内核模式: !address Address !address 参数: Address仅显示包含地址的地址空间区域. -summary仅显示摘要信…

lsf, lsf- (Load or Unload Source File) lsf和lsf-命令加载或卸载源文件. lsf Filename lsf- Filename 参数: Filename指定要加载或卸载的文件.如果此文件不在从中打开调试器的目录中,则必须包含绝对路径或相对路径.文件名必须遵循Microsoft Windows文件名惯例. lsf命令加载源文件.lsf-命令卸载源文件.可以使用此命令卸载以前使用lsf加载的文件或自动加载的源文件.不能使用lsf-卸载通过windbg的fi…