Windbg 常用命令整理

kd> !idt -a      查看idt

 

kd> dt _ktrap_frame   异常帧

 

kd> ba e1 Address 下硬件执行断点
kd> ba w4 Address 下硬件读写断点

 

kd>  k 查看栈回溯

 

kd> !pcr  CPU控制块

 

kd> r  显示寄存器信息

kd> x  以通配符的方式检查一个模块内的符号地址 例如: x nt!Psp* (显示内核里所有以Psp开头的内核符号) 

kd> bl  查看已设置的断点列表 

kd> ub  向前反汇编,例如: ub 4014f9 L2 反汇编当前地址之前的两条指令

kd> !dd  显示物理地址(只在内核调试下有效)

kd> !object   Objectaddr   解析对象

 

调试应用层程序

kd> !process 0 0 列出所有进程 
kd> .process /p <EPROCESS> 切换到应用进程的地址空间 
kd> .reload /f /user 重新加载此进程用户空间的符号信息 
kd>  .process /i /p <EPROCESS> 以入侵且禁止缓存映射地址的方式重新切换地址空间