windbg | 易学教程

nt!KeWaitForSingleObject without Args

阅读更多关于 nt!KeWaitForSingleObject without Args

问题 I'm currently trying to debug a system deadlock and I'm having a hard time understanding this. Child-SP RetAddr : Args to Child : Call Site fffff880`035cb760 fffff800`02ecef72 : 00000000`00000002 fffffa80`066e8b50 00000000`00000000 fffffa80`066a16e0 : nt!KiSwapContext+0x7a fffff880`035cb8a0 fffff800`02ee039f : fffffa80`0b9256b0 00000000`000007ff 00000000`00000000 00000000`00000000 : nt!KiCommitThreadWait+0x1d2 fffff880`035cb930 fffff880`0312a5e4 : 00000000`00000000 fffff800`00000000 fffffa80

WinDbg链接

阅读更多关于 WinDbg链接

MSDN文档一个简单的介绍最基本功能涉及了 stack overflow 挺详细的 WinDbg配置和使用基础转在WinDBG中查看函数的反汇编代码的命令在WinDBG中查看变量的命令 windbg下如何使用bp对指定文件指定源码行数下断使用windbg调试release程序 WinDbg修改寄存器和内存 windbg检测句柄泄露定位到具体代码现学现用之windbg的高级玩法135131476808184118119121122楼已更新chm文档集成7篇实战18个辅助工具 MSDN文档，一个简单的介绍，最基本功能涉及了 Getting Started with WinDbg (User-Mode) / ********************************************************** / stack overflow 挺详细的 Good tutorial for WinDbg? / ********************************************************** / WinDbg配置和使用基础(转) WinDbg配置和使用基础(转) / ********************************************************** / 在WinDBG中查看函数的反汇编代码的命令

汇编与反汇编之小技巧

阅读更多关于汇编与反汇编之小技巧

汇编与反汇编之小技巧大家都知道，对于位于当前调试目标中的指令，可以使用WinDBG的u命令进行反汇编。u命令的参数是要反汇编代码的地址值或者符号，如果不指定，那么WinDBG会使用当前程序指针寄存器所指向的代码，例如：0:001> untdll!DbgBreakPoint:7c901230 cc int 37c901231 c3 来源： CSDN 作者： justpub 链接： https://blog.csdn.net/justpub/article/details/2623910

WinDbg分析dump文件介绍

阅读更多关于 WinDbg分析dump文件介绍

WinDbg 分析dump 文件介绍 1、WinDbg介绍 WinDbg是微软开发的免费源代码级的调试工具。WinDbg可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。具体界面见下图（图1）图1：主窗体界面 2、WinDbg 分析dump步骤 2.1 、WinDbg分析dump文件基本上试通过命令的方式，所以先介绍几个相关命令。 1）!analyze : 扩展显示当前异常或bug的信息。一般使用!analyze -v 2） kv : 显示栈信息 3） ub : 向前反汇编,例如: ub (地址) 反汇编当前地址之前的两条指令 4） u : 反汇编,例如: u (地址) 反汇编当前地址以后的9条指令 5） uf <function address> : 反汇编函数 5） .exr: 查看EXCEPTION_RECORD信息 6) .cls : 清屏。。。。。。。。 2.2、打开Dump格式文件方式一：通过菜单【File】 -> 【Open Crash dump】选择dump文件打开，图2:打开dumpe文件图3：打开后会打印一些dump的信息方式二：通过CMD打开Dos命令窗口，切换到WinDbg所在目录，利用命令： WinDbg –z “D:/Lines2009-7-25-22-20-33-900.dmp” 这里只介绍第一种方式操作。 2.3

在WinDBG中查看函数的反汇编代码的命令

阅读更多关于在WinDBG中查看函数的反汇编代码的命令

命令 ========== u . u $ip 上面的两个命令是效果是一样的, 反汇编当前$ip地址上的8条命令. uf . uf $ip 上面两个命令的效果是一样的, 反汇编当前$ip地址上的整个函数. ub . ub $ip 反汇编$ip之前的8条指令. ub $ip L2a 反汇编$ip地址之前的42条指令. u $ip $ip+a 反汇编地址$ip到地址$ip+10之间的指令. 注意, 这里包括$ip, 不包括$ip+10。举例: 来源： CSDN 作者： swanabin 链接： https://blog.csdn.net/swanabin/article/details/22657625

windbg 学习----#（从反汇编中搜索符合指定模板的数据）

阅读更多关于 windbg 学习----#（从反汇编中搜索符合指定模板的数据）

语法 # [ Pattern ] [ Address [ L Size ]] 参数 Pattern 指定用于在反汇编代码中搜索的模板。 Pattern 可以包含各种通配符和修饰符。关于该语法的更多信息，查看字符串通配符语法。如果在 Pattern 中包含空格，需要将模板用引号括起来。模板是不区分大小写的。如果之前使用过 # 命令，并且省略掉 Pattern ，该命令会使用上一次的模板。 Address 指定搜索开始的地址。该语法的更多信息，查看地址和地址范围语法。 Size 指定要搜索的指令数量。如果省略掉 Size ，会一直搜索直到遇到匹配项。 0:000> u ntdll!LdrpDoDebuggerBreak+0x2c: 773d054e cc int 3 773d054f 8975fc mov dword ptr [ebp-4],esi 773d0552 eb0e jmp ntdll!LdrpDoDebuggerBreak+0x40 (773d0562) 773d0554 33c0 xor eax,eax 773d0556 40 inc eax 773d0557 c3 ret 773d0558 8b65e8 mov esp,dword ptr [ebp-18h] 773d055b c745fcfeffffff mov dword ptr [ebp-4]

Investigating Memory Leak

阅读更多关于 Investigating Memory Leak

问题 We have a slow memory leak in our application and I've already gone through the following steps in trying to analyize the cause for the leak: Enabling user mode stack trace database in GFlags In Windbg, typing the following command: !heap -stat -h 1250000 (where 1250000 is the address of the heap that has the leak) After comparing multiple dumps, I see that a memory blocks of size 0xC are increasing over time and are probably the memory that is leaked. typing the following command: !heap -flt

Crashes in ole32!COIDTable::ThreadCleanup … NetworkItemFactory!FDBackgroundThreadHandler

阅读更多关于 Crashes in ole32!COIDTable::ThreadCleanup … NetworkItemFactory!FDBackgroundThreadHandler

问题 Since last week, Word and Excel are often crashing, even on very simple documents. Just now, Firefox also crashed. What can I do to repair it or find the real root cause? I have already repaired Office installation using the Setup. All regular updates should be installed. Laptop is rebooted every day. I have configured WinDbg to attach and this is what I get. I also have a dump, so if you need more information, I can still get it. Here's info from my first dump of Word: 0:020> .exr -1

Windows Crash Dump call stack only shows wow64

阅读更多关于 Windows Crash Dump call stack only shows wow64

问题 Problem I have a Windows application that we developed for in house use. Thanks to Windows Error Handling, the window stays open and I can easily generate a crash dump from the task manager. I have used crash-dumps on linux through eclipse once before, but this is the first time on Windows. Hardware The server is Windows 2012, and my development machine is Windows 7. Windbg When I load the crash dump in Windbg, load my symbols, then choose to look at the call stack, the only listings are: How

Diagnosing an app that fails to halt

阅读更多关于 Diagnosing an app that fails to halt

问题 Our Windows app is often hanging in memory and I'm trying to use windbg to track down the problem. I'm very new to windbg and could use some advice (I have started to read Advanced Windows Debugging though). The app is a mix of C++ and COM objects written in VB. Occasionally when you exit, the app appears to go away but task manager shows it hanging around in memory, apparently idle. !threads shows me this: ThreadCount: 2 UnstartedThread: 0 BackgroundThread: 2 PendingThread: 0 DeadThread: 0