使用WinDbg调试入门(用户模式)
windbg是一个内核模式和用户模式调试器,包含在Windows调试工具中。在这里,提供个实践练习,帮助我们开始使用windbg作为用户模式调试器。
用WinDbg调试记事本
1、导航到安装目录,然后打开windbg.exe。
2、在“文件”菜单上,选择“打开可执行文件”。在“打开可执行文件”对话框中,导航到包含notepad.exe的文件夹(例如,C:\windows\system32)。输入notepad.exe作为“文件名”。单击“打开”。
3、在windbg窗口底部附近的命令行中,输入以下命令:.sympath srv*.
输出:
符号搜索路径告诉windbg在哪里查找符号(pdb)文件。调试器需要符号文件来获取有关代码模块(函数名、变量名等)的信息。
输入此命令,通知windbg执行符号文件的初始查找和加载:.reload
4、查看notepad.exe模块的符号
请输入以下命令:x notepad!*
注意:如果看不到任何输出,请输入.reload。要查看包含main的notepad.exe模块中的符号,请输入以下命令: x notepad!*main*
5、在记事本上设置断点notepad!WinMain,输入以下命令:bu notepad!WinMain
要验证是否设置了断点,请输入以下命令:bl
6、运行,请输入以下命令:g
记事本一直运行到winmain函数,然后中断到调试器。
要查看在记事本进程中加载的代码模块列表,请输入以下命令:lm
要查看堆栈跟踪,请输入以下命令:k
7、再次运行 g
8、要中断记事本执行,请从“调试”菜单中选择“中断”。
9、观察保存过程,要在zwwritefile处设置和验证断点,请输入以下命令:
10、输入g重新开始运行记事本。在记事本窗口中,输入一些文本,然后从“文件”菜单中选择“保存”。当涉及zwCreateFile时,正在运行的代码将中断。输入k以查看堆栈跟踪。
- 上一篇: 仅通过转储来排除内存泄漏
- 下一篇: 使用Java中的InputStream读取文件数据