Windbg 基础使用

1. 基础指令
  - **g (Go)**
    - 继续执行被调试程序（直到断点或异常）。
  - **p (Step)**
    - 单步执行（跳过函数调用）。
  - **t (Trace)**
    - 单步执行（进入函数调用）。
  - **bp [address] (Set Breakpoint)**
    - 在指定地址设置断点，例如：
```
bp MyModule!MyFunction
```
  - **bl (List Breakpoints)**
    - 列出所有断点。
  - **bc [id] (Clear Breakpoint)**
    - 清除断点（如 bc * 清除所有断点）。
2.  查看内存与寄存器
  - **r (Registers)**
    - 显示当前寄存器值（如 eax, esp, rip）。
  - **d [address] (Dump Memory)**
    - 显示内存内容，例如：
```
d esp          # 显示栈内存
d 0x12345678   # 显示指定地址内存
```
  - **dd/dw/db**
    - 分别以 DWORD/WORD/BYTE 格式显示内存。
  - **u [address] (Unassemble)**
    - 反汇编指定地址的代码。
3. 栈与调用链
  - **k (Stack Backtrace)**
    - 显示当前调用栈（kb 带参数，kn 带帧编号）。
  - **dv (Display Variables)**
    - 显示局部变量（需符号支持）。
  - **.frame [n]**
    - 切换到指定栈帧（配合 k 使用）。
4. 符号与模块
  - **.sympath**
    - 设置/显示符号路径，例如：
```
.sympath SRV*C:\Symbols*https://msdl.microsoft.com/download/symbols
```
  - **lm (List Modules)**
    - 列出已加载的模块。
  - **x [module]!***
    - 列出模块中的符号，例如：
```
x ntdll!*       # 列出 ntdll 的所有符号
x MyApp!MyFunc* # 模糊匹配函数名
```
5. 异常与事件
  - **.exr**
    - 显示最近的异常记录。
  - **.lastevent**
    - 显示最近的事件（如异常、断点）。
  - **sxe [event]**
    - 设置异常事件处理（如 sxe av 捕获访问违例）。
6. 进程与线程
  - **| (Process List)**
    - 列出所有进程（~ 列出线程）。
  - **~[n]s**
    - 切换到指定线程（如 ~1s）。
  - **.process**
    - 显示当前进程信息。
7. 高级调试
  - **!analyze -v**
    - 自动分析崩溃原因（如蓝屏、访问违例）。
  - **!heap**
    - 查看堆信息（需启用页堆调试时更有效）。
  - **!address [addr]**
    - 分析内存页属性（如是否可读/可写）。
  - **!peb**
    - 显示进程环境块（PEB）信息。
8. 扩展命令（需加载扩展）
  - **!ext.help**
    - 查看已加载扩展的帮助。
  - **!pool [addr]**
    - 检查内核池内存（内核调试用）。
  - **!thread**
    - 显示当前线程的详细信息。
9. 实用技巧
  - 条件断点
```
bp MyApp!MyFunction "j (poi(esp+8)==0) 'gc'; 'gc'"
```
   - 当 MyFunction 的第2个参数为0时中断。
   - 记录输出到文件
```
.logopen C:\debug.log
.logclose
```
10. 帮助与退出
  - **.hh [command]**
    - 打开命令的帮助文档（如 .hh bp）。
  - **q**
    - 退出 Windbg。