Windbg:修订间差异
跳转到导航
跳转到搜索
无编辑摘要 |
|||
| 第37行: | 第37行: | ||
=== 查看堆栈 === | === 查看堆栈 === | ||
=== 下载符号 === | |||
# <code># 格式:<nowiki>https://msdl.microsoft.com/download/symbols/ntdll.pdb/</nowiki><地址名称>/ntdll.pdb</code> | |||
# <code><nowiki>https://msdl.microsoft.com/download/symbols/ntdll.pdb/CDE75D039306834203EBD8D4E7D503691/ntdll.pdb</nowiki></code> | |||
下载好后,它是一个blob的文件,然后将它重命名为<code>ntdll.pdb</code>名字,放到CDE75D039306834203EBD8D4E7D503691目录下 | |||
http://m.tnblog.net/hb/article/details/7658 | |||
=== 参考 === | === 参考 === | ||
* https://windbg.org/ | * https://windbg.org/ | ||
2024年1月3日 (三) 01:31的版本
查看命令帮助
.hh 命令
64位dump转32位
!wow64exts.sw
查看进程加载的dll
# .hh lm
lmf
# 过滤带有ook的
lmf m "*ook*"
导出进程加载的dll
- 安装插件 https://www.microsoft.com/en-us/download/details.aspx?id=53304
.load E:\test\mex\Mex\x86\mex.dll
!mex.writemodule -a -p e:\test\dll
内存泄露分析
!heap -s
!heap -stat -h
查看线程
查看堆栈
下载符号
# 格式:https://msdl.microsoft.com/download/symbols/ntdll.pdb/<地址名称>/ntdll.pdbhttps://msdl.microsoft.com/download/symbols/ntdll.pdb/CDE75D039306834203EBD8D4E7D503691/ntdll.pdb
下载好后,它是一个blob的文件,然后将它重命名为ntdll.pdb名字,放到CDE75D039306834203EBD8D4E7D503691目录下
http://m.tnblog.net/hb/article/details/7658