1. 查询符号
kd> x nt!KeServiceDescriptorTable* kd> ln 8046e100 2. 下载系统文件的符号 symchk c:\winnt\system32\ntoskrnl.exe /s srv*c:\symbols*http://msdl.microsoft.com/download/symbols SYMCHK: FAILED files = 0 3. 查看 event 对象的信号状态 !object \BaseNamedObjects 4. 查看 LastError 值 !gle 5. 指定进制形式,0x/0n/0t/0y 分别表示 16/10/8/2 进制 ? 0x12345678+0n10 6. 过滤命令窗口输出信息 .prompt_allow -reg +dis -ea -src -sym 7. .formats 命令 以多种格式显示表达式的值 8. 异常处理相关 有 sx, sxd, sxe, sxi, sxn, sxr 几条命令可用来设置异常和事件的处理方式。比如: 9. 内核调试时切换进程 lkd> !process 0 0 10. 可在桌面上建立一个 WinDbg.exe 的快捷方式,然后在该快捷方式的属性力设置如下命令行 C:\WinDBG\windbg.exe -c “.prompt_allow +dis -reg -ea -src -sym; .enable_unicode 1; .enable_long_status 1; .logopen /t c:\dbglog\dbglog.txt” 11. 本机内核调试 通过File/Kernel Debug… 菜单可以打开内核调试选择窗口,选择最后一个 Local 选项页,确定后可以以内核方式调试本地机器。这时所有会挂起系统的命令都用不了了,但可以读写系统内存。另外,有一个方便的用途是用来查看系统结构,比如:dt nt!_EPROCESS。 &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
|
没有回复内容