windbg 调试器简明手册——第 7 章——调试器命令——第 6 节——用户模式扩展命令

原创 于 2026-06-16 13:56:01 发布 · 173 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#软件调试 #windbg软件调试 #Windows软件调试

   

目录

1.  !avrf (控制应用程序验证器设置及设置输出)

2.  !critsec (显示临界区)

3.  !dp (!ntsdexts.dp)(显示临界区)

4.  !dreg (显示注册表信息)

5.  !dt (显示 CSR 线程详情)

6.  !findstack (寻栈)

7.  !gatom (显示全局原子表)

8.  !igrep (在反汇编码中搜索模式)

9.  !locks(!ntsdexts.locks)(显示临界区列表)

10.  !mapped_file (显示文件映像)

11.  !runaway (显示线程耗时详情)

12.  !uniqstack(显示线程栈详情)

13.  !vadump(显示虚拟内存范围及相应保护信息)

14.  !vprot(显示虚拟内存保护信息)

        本参考文档的这一部分介绍了主要用于用户模式调试的扩展命令。

    调试器会自动加载这些扩展命令的正确版本。除非您手动加载了不同的版本,否则无需跟踪正在使用的 DLL 版本。有关默认模块搜索顺序的说明,请参阅“使用调试器扩展命令”。

    每一个扩展命令参考页面都列出了公开该命令的 DLL。请使用以下规则确定要从中加载此扩展 DLL 的正确目录:

    如果目标应用程序运行在 Windows XP 或更高版本的 Windows 上,请使用 winxp\Ntsdexts.dll。

    此外,不特定于任何单个操作系统的用户模式扩展位于 winext\Uext.dll 中。

更详细参数见:

https://learn.microsoft.com/en-us/windows-hardware/drivers/debuggercmds/user-mode-extensions

1.  !avrf (控制应用程序验证器设置及设置输出)

    !avrf 控制应用程序验证器的设置,并显示应用程序验证器生成的各种输出。

!avrf

!avrf -vs { Length | -a Address }

!avrf -hp { Length | -a Address }

!avrf -cs { Length | -a Address }

!avrf -dlls [ Length ]

!avrf -trm

!avrf -ex [ Length ]

!avrf -threads [ ThreadID ]

!avrf -tp [ ThreadID ]

!avrf -srw  [ Address | Address Length ] [ -stats ]

!avrf -leak  [ -m ModuleName] [ -r ResourceType] [ -a Address ] [ -t ]

!avrf -trace TraceIndex

!avrf -cnt

!avrf -brk [BreakEventType] 

!avrf -flt [EventType Probability]

!avrf -flt break EventType

!avrf -flt stacks Length

!avrf -trg [ Start End | dll Module | all ]

!avrf -settings

!avrf -skp [ Start End | dll Module | all | Time ]

DLL:

exts.dll

2.  !critsec (显示临界区)

    !critsec 显示临界区。

!critsec Address

DLL:

Ntsdexts.dll

3.  !dp (!ntsdexts.dp)(显示临界区)

    Ntsdexts.dll 中的 !dp 扩展命令用于显示 CSR 进程。请勿将此扩展命令与 dp(显示内存)命令或 !kdext*.dp 扩展命令混淆。

!dp [v] [ PID | CSR-Process ]

DLL:

Ntsdexts.dll

4.  !dreg (显示注册表信息)

    !dreg显示注册表信息。

!dreg [-d|-w] KeyPath[!Value]

!dreg

DLL:

Ntsdexts.dll

5.  !dt (显示 CSR 线程详情)

    !dt 扩展命令用于显示 CSR (Certificate Signing Request)线程的相关信息。

请勿将此扩展命令与 dt(显示类型)命令混淆。

!dt [v] CSR-Thread

DLL:

Ntsdexts.dll

6.  !findstack (寻栈)

    !findstack 可以找到所有包含指定符号或模块的栈。

!findstack Symbol [DisplayLevel]

!findstack -?

DLL:

Uext.dll

7.  !gatom (显示全局原子表)

    !gatom 显示全局原子表。

DLL:

Ntsdexts.dll

8.  !igrep (在反汇编码中搜索模式)

    !igrep用于在反汇编代码中搜索模式(pattern)。

!igrep [Pattern [StartAddress]]

DLL:

Windows 2000:Ntsdexts.dll

Windows XP and later:Unavailable

9.  !locks(!ntsdexts.locks)(显示临界区列表)

Ntsdexts.dll 中的 !locks会显示与当前进程关联的临界区列表。

请勿将此扩展命令与 !kdext*.locks 扩展命令混淆(不同的扩展DLL中出现相同的扩展命令)。

DLL:

Ntsdexts.dll

10.  !mapped_file (显示文件映像)

    !mapped_file 显示支持包含指定地址的文件映射的文件名。

!mapped_file Address

DLL:

Uext.dll

!mapped_file 只能在实时、非远程调试期间使用。

11.  !runaway (显示线程耗时详情)

    !runaway 会显示每一个线程所消耗的时间信息。

!runaway [Flags]

例如:

0:000> !runaway

 User Mode Time

  Thread       Time

    3:4b2c     0 days 0:00:00.000

    2:c9c      0 days 0:00:00.000

    1:42c0     0 days 0:00:00.000

    0:4f0c     0 days 0:00:00.000

0:000> !runaway

 User Mode Time

  Thread       Time

    0:3238     0 days 0:00:01.015

DLL:

Ntsdexts.dll

12.  !uniqstack(显示线程栈详情)

    !uniqstack显示当前进程中所有线程的所有栈,但排除出现重复堆栈的情况。

!uniqstack [ -b | -v | -p ] [ -n ]

DLL:

Uext.dll

例如:

Processing 1 threads, please wait

.  0  Id: 51b0.3238 Suspend: 0 Teb: 000000b6`01193000 Unfrozen

      Start: TestVC__!ILT+23800(wmainCRTStartup) (00007ff7`b44a6cfd)

      Priority: 0  Priority class: 32  Affinity: ff

 # Child-SP          RetAddr               Call Site

00 000000b6`012ff8a8 00007ffd`ed641168     ntdll!NtTerminateProcess+0x14

01 000000b6`012ff8b0 00007ffd`ec737fab     ntdll!RtlExitUserProcess+0xb8

02 000000b6`012ff8e0 00007ff7`b462f65b     KERNEL32!ExitProcessImplementation+0xb

03 000000b6`012ff910 00007ff7`b462f5ec     TestVC__!exit_or_terminate_process+0x3b [minkernel\crts\ucrt\src\appcrt\startup\exit.cpp @ 142]

04 000000b6`012ff940 00007ff7`b462fa06     TestVC__!common_exit+0xac [minkernel\crts\ucrt\src\appcrt\startup\exit.cpp @ 288]

05 000000b6`012ff9a0 00007ff7`b44d8fab     TestVC__!exit+0x16 [minkernel\crts\ucrt\src\appcrt\startup\exit.cpp @ 302]

06 000000b6`012ff9d0 00007ff7`b44d8e4e     TestVC__!__scrt_common_main_seh+0x14b [D:\a\_work\1\s\src\vctools\crt\vcstartup\src\startup\exe_common.inl @ 295]

07 000000b6`012ffa40 00007ff7`b44d917e     TestVC__!__scrt_common_main+0xe [D:\a\_work\1\s\src\vctools\crt\vcstartup\src\startup\exe_common.inl @ 331]

08 000000b6`012ffa70 00007ffd`ec73257d     TestVC__!wmainCRTStartup+0xe [D:\a\_work\1\s\src\vctools\crt\vcstartup\src\startup\exe_wmain.cpp @ 17]

09 000000b6`012ffaa0 00007ffd`ed64af08     KERNEL32!BaseThreadInitThunk+0x1d

0a 000000b6`012ffad0 00000000`00000000     ntdll!RtlUserThreadStart+0x28

Total threads: 1

13.  !vadump(显示虚拟内存范围及相应保护信息)

    !vadump 显示所有虚拟内存范围及其相应的保护信息。

!vadump [-v]

DLL:

Uext.dll

14.  !vprot(显示虚拟内存保护信息)

!vprot显示虚拟内存保护信息。

!vprot [Address]

DLL:

Uext.dll

windbg 调用器简明手册——第 6 ——使用调试器扩展
ComputerInBook的专栏
02-06 640
windbg 使用手册
windbg 调试器简明手册——第 1 ——命令操作窗口
ComputerInBook的专栏
02-05 701
windbg调试器使用手山
windbg 调试器简明手册——第 7 ——调试器命令——第 4 ——逾命令
ComputerInBook的专栏
06-14 194
Windbg调试手册——逾命令
windbg 调试器简明手册——第 7 ——调试器命令——第 5 ——常规扩展命令
ComputerInBook的专栏
06-15 171
windbg 常规扩展命令
C语言数组指针加1的问题
ComputerInBook的专栏
04-25 6022
指向数组的指针存储的是连续的内存地址,而内存地址的最小编址单位是1字,如果存储的数据本身移动几个字,则内存地址也相应地移动几个字。而数组指针的加1移动几个字,取决于所指向的数组类型,这部分是由C/C++的编译器实现去处理的。下面具几个例子说明(下面的例子在MSVC的X64平台,指针本身占8个字): 1. 用C++语言测试 (1) 指向1字的数组指针: void TestPointerSize() { char data[] = {1,2,3,4,5,6,7,8,9,10}; ...
在Visual Studio C++ 项目中加入一个汇编语言源文件的方法
ComputerInBook的专栏
12-30 3429
1.说明:Visual Studio工程系统通过使用MASM的方式支持在C++项目中使用汇编语言文件。MASM完全支持x64汇编语言源文件, 并自动将它们构建到目标文件中。然后,你可以将这些目标文件链入你为X64平台写的C++代码中。这是克服缺少x64内联汇编器的一种方法(意思就是说克服C++编译器不能直接编译.asm后缀的汇编语言源文件的方法,目前还没有内联支持直接编译汇编语言源文件)。 2.具体步骤 2.1 第一步:按Visual Studio向导建立C++工程,下面重点是第二步。 2.2 第二步:.
Stack cookie instrumentation code detected a stack-based buffer overrun.
ComputerInBook的专栏
08-10 1913
在vc++下面出现这个调试错误:Stack cookie instrumentation code detected a stack-based buffer overrun.(栈检测指令检测到基于栈的缓存区被某种操作越界操作了。) 原因:在栈上执行了某种操作,例如,内存复制(memcpy),内存设置(memset),缓冲区格式化(sprintf),等等,查是这个操作已经越过了申请的栈空间的大小。系统在退出函数调用时,会清理栈空音,也就是说,越过函数的结束花括号(})时,就是报以上错误。 要解决以上问题
VS 2012 开发dll编译出错:error LNK2019: 无法解析的外部符号
ComputerInBook的专栏
11-21 1595
无法解析的外部符号,这是一个非常常见的链接错误,造成这个错误的原因比较多,这里列几种容易忽略的原因: 1.引用的函数有定义但没有实现,链接器找不到函数实现代码。 2.引用的函数没有导出,请使用动态库导出关键字:__declspec(dllexport)标识导出函数。 3.函数虽然有导出,但是引用的时候没有加入输入库,在项目属性->链接器->输入->附加依赖项中引入lib文件。 4.编译导出库和使用导出库的编译选项不一样,这是常容易忽略的地方,结果到处找原因耗费很多时间。常...
error LNK1104: cannot open file ‘Common.lib‘
ComputerInBook的专栏
12-24 1302
VC++开发中,报类似以上找不到链接库的错误,一般是没有设置附加库输入路径,或者文件不存在,而在这里我要说的却不一样,附加库路径设置正确,而文件也存在,但是执行rebuild时总是报找不到库文件的错误,而执行build却能成功。 1.现象描述: 附加库设置路径正确:Additional LibraryDirectories项设置正确。 输入库设置正确:Additional Dependencies项设置正确。 文件位置存在这个文件,执行rebuild all总是报错:error ...
C++编程语言:标准库:第38——输入输出流(Bjarne Stroustrup)
ComputerInBook的专栏
09-15 1273
C++ 输入输出流(I/O Streams)
C++编程语言:基础设施:第12——函数(Bjarne Stroustrup)
ComputerInBook的专栏
09-13 1167
C++ 函数
VC++编译找不到头文件和Rebuild失败问题
ComputerInBook的专栏
03-04 1129
1.找不到头文件题 没有设置好头文件关联路径,需要将根目录和子目录都添加到附加头文件目录中,例如:根目录root,子目录sub1和sub2中有两个头文件需要在别的地方被引用,那么应该这样添头文件路径到附加包含目录中: $(SolutionDir)root $(SolutionDir)root\sub1 $(SolutionDir)root\sub2 2.单独编译某个库能成功,但是Rebuild却提示关联的几个项目都编译失败 这种是没有设置好项目引用之间的依懒关系,应该在解决方案处右键,-&g..
理解 C++ 中的特征技术(traits)
ComputerInBook的专栏
06-14 1109
C++ 中的特征技术(Traits)
C++编程语言:标准库:第37——正则表达式(Bjarne Stroustrup)
ComputerInBook的专栏
09-02 1093
C++: 正则表达式
理解C++中传引用和传值的区别
ComputerInBook的专栏
06-14 1087
C++的传引用与传值之区别
C&C++申请和释放二维指针
ComputerInBook的专栏
12-30 1013
假如CmdMsg是c语言中的结构体,是c++中的类。 >> c语言中申请和释放二维指针: 申请二维指针示例: m_pCmdMsgList = (CmdMsg**)malloc(MaxListCnt*sizeof(CmdMsg*)); for(i = 0;i<MaxListCnt;i++) { m_pCmdMsgList[i] = (CmdMsg*)malloc(sizeof(CmdMsg)); } 释放二维指针示例: for(i = 0;i<MaxList...
VC++下SYSTEMTIME时间与C#下DateTime时间的相互转换
ComputerInBook的专栏
03-17 1011
1.先说一下应用场景:有时间,需要在不同平台不同语言编写的系统之间通信,如果牵扯到时间,就需要转换一致。这儿的应用场景是,在VC++下面使用SYSTEMTIME取得的时间,需要发送到C#编写的系统解析,相反,C#使用DateTime取得的时间,也需要发送到VC++编写的程序解析。 2.实现步聚,难点主要在于VC++这一端: 2.1需要先将SYSTEMTIME时间转换成64位整数,返过来也需要转64位整数转抽象为SYSTEMTIME结构时间,2个方法如下: __int64 SystemTimeTo...
C++编程语言:标准库:第 32 ——STL算法(Bjarne Stroustrup)
ComputerInBook的专栏
07-01 1007
C++ STL 算法
C++编程语言:抽象机制:第21——类层级结构(Bjarne Stroustrup)
ComputerInBook的专栏
01-21 999
C++编程语言:抽象机制:类层级级构
HTJ_D.rar
最新发布
06-16
下载并安装缺失的 CAD 字体文件,以解决文字乱码和问号问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值