windbg 常用命令

Posted 2021-12-12 小米渣的逆袭

windbg 常用命令

// 列出所有模块对应的符号信息

x sede_guardx!*

x sede_guardx!drawWatermark*

x sede_guardx!*createMemDC*

// 查看当前堆栈

k

//下断点

bu sede_guardx!drawWatermark 或者 bm sede_guardx!drawWatermark

或者 bu sede_guardx!WatermarkWindow::createMemDC

bu  sede_guardx!WatermarkWindow::createMemDC+0x25d

bl   // 列出所有断点

bc * // 清除所有断点

bc 1 // 清除1号断点

bc 1 2 5  // 清除1号、2号、5号断点

be *  // 启用所有断点

be 1  // 启用1号断点

be 1 2 5 // 启用1号、2号、5号断点

bd *  // 禁用所有断点

bd 1  // 禁用1号断点

bd 1 2 5 // 禁用1号、2号、5号断点

bp 7c801b00  // 在7c801b00地址处放置一个断点

bp MyDll+0x1032  // 在模块MyDll.dll偏移0x1032处放置一个断点

bp `ConsoleTest.cpp:36`  // 在ConsoleTest.cpp的36行处放置一个断点

bp main // 在main函数的起始处放置一个断点

bp @$exentry  // 在进程的入口放置一个断点

bp CSecondLoader::CSecondLoader  // 在CSecondLoader的构造函数处放置一个断点

bp TestCommon! CTest::add  // 在TestCommon.dll的Test.cpp文件的CTest::add()函数起始处放置一个断点

bp `ConsoleTest.cpp:40` ".if (poi(pVar)>5) {}; {g}" // ".if (Condition) {Optional Commands}; {g}"    条件断点 pVar指针指向的值>5，执行空语句（;），断住  否则继续执行

bp `ConsoleTest.cpp:40` "j (poi(pVar)>5) ' '; 'g'" // "j (Condition) 'Optional Commands'; 'g'"    j为条件表示式：条件断点 pVar指针指向的值>5，执行空语句（;），断住  否则继续执行

注：Condition表达式语法默认的是MASM表达式语法。使用复杂C++表达式时我们需要用@@c++()将表达式包围住；如："j @@c++(*pVar>5) ' '; 'g'"

 //查看断点

bl

 //单步调试

p

p    // 单步执行(F10)  【Step】

p 2 // 2为步进数目

pc   // 执行到下一个函数调用处停下 【Step to  Next　Call】

pa 7c801b0b // 执行到7c801b0b地址处停下  【Step to Adress】

t     // Step into(F11)　【Trace】

tc    // 执行到下一个进入点（Call指令）处停下　【Trace to Next Call】

//函数参数变量请用dv命令

dv