Windbg

Admin（留言 | 贡献）2024年1月3日 (三) 01:31的版本

(差异) ←上一版本 | 最后版本 (差异) | 下一版本→ (差异)

查看命令帮助

.hh 命令

64位dump转32位

!wow64exts.sw

查看进程加载的dll

# .hh lm
lmf

# 过滤带有ook的
lmf m "*ook*"

导出进程加载的dll

- 安装插件 https://www.microsoft.com/en-us/download/details.aspx?id=53304

.load E:\test\mex\Mex\x86\mex.dll
!mex.writemodule -a -p e:\test\dll

内存泄露分析

!heap -s
!heap -stat -h

查看线程

查看堆栈

下载符号

# 格式：https://msdl.microsoft.com/download/symbols/ntdll.pdb/<地址名称>/ntdll.pdb
https://msdl.microsoft.com/download/symbols/ntdll.pdb/CDE75D039306834203EBD8D4E7D503691/ntdll.pdb

下载好后，它是一个blob的文件，然后将它重命名为ntdll.pdb名字，放到CDE75D039306834203EBD8D4E7D503691目录下

http://m.tnblog.net/hb/article/details/7658

参考

https://windbg.org/

检索自“https://wiki.raf.cc/index.php?title=Windbg&oldid=451”