windbg

!handle 简介 !handle扩展显示有关目标系统中一个或所有进程拥有的一个或多个句柄的信息。 使用形式 用户模式 !handle [ Handle [ UMFlags [ TypeName ]]] !handle -? 内核模式 !handle [ Handle [ KMFlags [ Process [ TypeName ]]]] 参数 Handle 指定要显示的句柄的索引。如果Handle为-1或省略此参数，调试器将显示与当前进程关联的所有句柄的数据。如果句柄为0，调试器将显示所有句柄的数据。 UMFlags （仅限用户模式）指定显示内容。此参数可以是以下任何位值的总和。（默认值为0x1。）| 位 0 (0x1) 显示句柄类型信息。 位 1 (0x2) 显示基本句柄信息。 位 2 (0x4) 显示句柄名称信息。 位 3 (0x8) 显示特定于对象的句柄信息 (如果可用)。 KMFlags （仅限内核模式）指定显示内容。此参数可以是以下任何位值的总和。（默认值为0x3。） 位 0 (0x1) 显示基本句柄信息。 位 1 (0x2) 显示有关对象的信息。 位 2 (0x4) 显示可用的句柄项。 如果未设置此位并且省略了 句柄 或将其设置为零, 则显示的句柄列表不包含可用的句柄。 如果 handle 指定单个自由句柄, 则即使未设置此位, 也会显示该句柄。 位 4 (0x10

!dlls 简介 !dlls扩展显示所有加载模块或指定线程或进程正在使用的所有模块的表条目。 使用形式 !dlls [Options][LoaderEntryAddress] !dlls -h 参数 Options 指定输出的级别。 此参数可以是下列值中的任意组合： -f 显示文件标头。 -s 显示部分标头。 -a 显示完成模块信息。 （此选项相当于-f-s。） -c **** ModuleAddress 显示包含的模块 ModuleAddress 。 -i 对显示的初始化顺序进行排序。 -l 对显示按加载顺序进行排序。 默认值为这种情况。 -m 对显示的内存顺序进行排序。 -v 显示版本信息。 此信息将由每个模块的资源部分。 -h 显示此扩展中的一些帮助文本调试器命令窗口。 LoaderEntryAddress 指定模块的加载程序条目的地址。 如果包括此参数时，调试器将显示仅此特定模块。 支持环境 Windows 2000 Kdextx86.dll Ntsdexts.dll Windows XP 及更高版本 Exts.dll 备注 模块列表包括每个模块的所有入口点。!dlls扩展仅在实时调试中工作（不在崩溃转储分析中）。在内核模式下，此扩展显示当前进程上下文的模块。你不能使用!dlls与系统进程或空闲进程一起。 来源： https://www.cnblogs.com/yilang

.load, .loadby (Load Extension DLL) 简介 .load和.loadby命令将新的扩展DLL加载到调试器中。 使用形式 .load DLLName ! DLLName .load .loadby DLLName ModuleName 参数 DLLName 指定要加载的调试器扩展DLL。如果使用.load命令，DLLName应包含完整路径。如果使用.loadby命令，DLLName应仅包含文件名。 ModuleName 指定与DLL name指定的扩展DLL位于同一目录中的模块的模块名。 支持环境 模式 用户模式下，内核模式 目标 实时、 崩溃转储 平台 全部 备注 使用.load命令时，必须指定完整路径。 使用.loadby命令时，不指定路径。相反，调试器会找到ModuleName参数指定的模块，确定该模块的路径，然后在调试器加载扩展DLL时使用该路径。如果调试器找不到模块或找不到扩展DLL，则会收到指定问题的错误消息。指定的模块和扩展DLL之间不必有任何关系。因此，使用.loadby命令只是避免键入长路径的一种方法。 在.load或.loadby命令完成后，您可以访问存储在加载的扩展名中的命令。 要加载扩展DLL，可以执行以下操作之一： 使用 .load 或 .loadby 命令。 通过发出完整执行扩展 ! DLLName .

We have a .NET background processing application (console app) that executes some arbitrary workloads (basically internal users supply .NET DLLs implementing "Execute" interface). Background processing application then loads the dll via reflection and executes it. One of the supplied DLLs apparently has a COM object in it which is not properly disposed (likely). As the processing time is quite long, AND we have COM objects created on the main thread and not disposed properly, this causes a Finalizer Thread to be blocked, which subsequently causes the process to accumulate a significant amount

I'm trying to track down a NullReferenceException from a dump. The NullReferenceException is not the crashing exception, rather the crashing exception is a TargetInvocationException with an InnerException which is the NullReferenceException. I'm using Windbg with SOS, I use the the command analyze -v and this gives me the call stack of the NullReferenceException: EXCEPTION_OBJECT: !pe f6cb150 Exception object: 000000000f6cb150 Exception type: System.NullReferenceException Message: Object reference not set to an instance of an object. InnerException: <none> StackTrace (generated): SP IP

I am editing the Windows Research Kernel (WRK) for part of a uni project, and occasionally when I start up the virtual machine running my kernel, the Windows Debugger says things like: WARNING: rdpdr overlaps raspptp_baa74000 WARNING: ks overlaps rdpdr_baa26000 WARNING: ks overlaps raspptp_baa74000 WARNING: update_baa11000 overlaps ks_ba9fe000 WARNING: update_baa11000 overlaps rdpdr_baa26000 WARNING: tcpip overlaps tcpip_ba83e000 What does this actually mean? This usually happens when the kernel debugger misses events (such as shutdown or module unload). The warning means that the debugger

0:000> !dumpheap -stat total 1755874 objects Statistics: MT Count TotalSize Class Name 7b9b0c64 1 12 System.Windows.Forms.Layout.TableLayout+ColumnSpanComparer .... 7933303c 14006 4926456 System.Collections.Hashtable+bucket[] 65246e00 804 4982192 System.Data.RBTree`1+Node[[System.Int32, mscorlib]][] 054c55f0 44240 5662720 DevExpress.Utils.AppearanceObject 793040bc 98823 7613156 System.Object[] 793308ec 293700 55820016 System.String 002435f0 50315 138631888 Free Total 1755874 objects Fragmented blocks larger than 0.5 MB: Addr Size Followed by 15a195c8 0.8MB 15ae3950 System.Collections.ArrayList