MediaWiki

Windbg


查看命令帮助 编辑 

.hh 命令

64位dump转32位 编辑 

!wow64exts.sw

查看进程加载的dll 编辑 

# .hh lm
lmf

# 过滤带有ook的
lmf m "*ook*"

导出进程加载的dll 编辑

- 安装插件 https://www.microsoft.com/en-us/download/details.aspx?id=53304

.load E:\test\mex\Mex\x86\mex.dll
!mex.writemodule -a -p e:\test\dll

内存泄露分析 编辑 

// 查看堆
!heap -s
// 查看内存分配统计
!heap -stat -h <堆地址>
// 查看某个尺寸的内存分配
!heap -flt s [size]
// 查看调用堆栈
!heap -p -a [address]
// 查看具体内存内容
db [UserPtr]

https://cloud.tencent.com/developer/article/1973944

查看线程 编辑

查看堆栈 编辑

下载符号 编辑

  1. # 格式:https://msdl.microsoft.com/download/symbols/ntdll.pdb/<地址名称>/ntdll.pdb
  2. https://msdl.microsoft.com/download/symbols/ntdll.pdb/CDE75D039306834203EBD8D4E7D503691/ntdll.pdb

下载好后,它是一个blob的文件,然后将它重命名为ntdll.pdb名字,放到CDE75D039306834203EBD8D4E7D503691目录下

http://m.tnblog.net/hb/article/details/7658

参考 编辑

检索自“https://wiki.raf.cc/index.php?title=Windbg&oldid=452