Windbg使用说明书

Windbg使用说明书

Windbg使用说明书 - 简书 (jianshu.com)

术语、缩略语

windbg 

windows平台下，强大的用户态和内核态调试工具。

dmp

内存映像文件，一般是系统错误产生的文件。

Pdb

程序数据库文件。

Symbol

符号文件（Symbol Files）是一个数据信息文件，它包含了应用程序二进制文件（比如：EXE、DLL等）调试信息

---

概述

Windbg是Windows平台下强大的工具。相比较于Visual Studio，它是一个轻量级的调试工具，所谓轻量级指的是它的安装文件大小较小，但是其调试功能，却比VS更为强大。它的另外一个用途是可以用来分析dump数据，还可以调试进程死锁之类的。调试功能，类似于Visual Studio，还支持命令方式。该文档只适用于VC++，而C#的还需要额外进行一些配置，原理大致相同。

Windbg只是一个工具，要掌握其基本的使用方法，和调试命令，在实践中不断完善自己的调试手段。同时可以参考一下大师们的文献《Windows用户态程序高效排错》，《Windows高级调试》，《软件调试》

---

下载

Windbg使用非常广泛，网上非常多的下载版本，而且文档也比较多，可以到CSDN或者其他网站下载，支持绿色包运行。

---

配置

Windbg在使用前，需要进行配置。

1.1环境变量

1、添加环境变量：_NT_SYMBOL_PATH

2、环境变量值：

C:\MyCodesSymbols;SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols

环境变量配置

3、根据环境变量值，在C盘下新建文件夹：MyCodesSymbols，MyLocalSymbols这两个文件夹主要存放windows的符号文件，也就是系统默认的一些pdb文件，这些文件不是系统自带的，需要配置好链接，第一次调试的时候windbg默认下载需要的缺失的symbol文件。

pdb 下载的文件

---

Windbg工具配置

符号配置Symbol File Path

C:\MyCodesSymbols;SRV*C:\MyLocalSymbols*http://msdl.microsoft.com/download/symbols

符号配置

源码路径配置Source File Path

工具不会智能定位到相应的源码，所以要配置你的源码工程的路径，是工程文件（例如这种格式的文件：*.vcxproj）所在的路径。

源码配置1

源码位置

---

编译器配置

支持VC6以上的Visual Studio编译器，设置相关的属性

禁止优化项：

禁止优化项1

禁止优化项2

生成程序数据库文件

pdb 文件

---

使用

工具进行使用前配置后，可以进行工作了。这里介绍绑定进程进行调试的操作步骤。

---

绑定进程

注意，进程要先启动再进行绑定设置，因为Attach to Process窗口不会像任务管理器一样实时刷新进程。选中进程名称，点击Ok确认。

绑定进程

---

调试

绑定进程后，可以在命令窗口输入g字母命令，然后回车。或者用快捷键F5。即可在调试中运行进程了。注意：须要pdb文件，和exe或dll放在一起，或者上文提到的把pdb文件放在C:\MyCodesSymbols目录。因为调试信息都是根据pdb的文件时间戳进行定位历史文件的，所以在发布版本后，最好备份一下代码和文件。否则版本发出去了，原生源码进行编译了，pdb不一样了，源码被修改了，那么抓取到的*.dmp内存映像就不能准确地调试。

程序被windbg绑定后，F5运行，现在可以正常操作软件了。这时候软件有异常，命令窗口会打印相关的异常命令，如下图：

Access violation–code c0000005 (first chance)

调试

这种是典型的内存禁止访问异常。输入小写字母k命令，即可打印堆栈。左窗口也是相应的源码，像vs那样调试。工具栏上有很多调试窗口可以展示出来：

调试工具栏

如局部变量数据展示窗口：Locals

变量展示窗口

---

命令

除了基本的可视化调试之外，windbg支持命令进行其他的内核调试，可以根据实际需要进行使用，下面简单介绍常用的命令：

1、查看版本信息：version、vertarget。

2、查看模块信息：lm、!dlls、!lmvi等。

3、调用栈：用k命令显示调用栈，用.frames命令切换栈帧。

4、内存操作：读内存用d命令，写内存用e命令。

5、自动分析：!analyze、!owner等。

6、符号命令：.reload加载符号, .sympath设置符号路径, !sym设置符号选项。

7、进程线程：!process显示进程信息；.process显示当前进程，或用.process /i切换当前进程；!peb显示进程环境块内容；~命令显示线程列表，用~n s可切换当前线程，n表示线程号；.thread显示当前线程。

---

分析dmp文件

Windbg是调试的利器，可以绑定进程进行调试，也可以调试进程的内存映像*.dmp文件，一般是进程崩溃后系统产生的dmp文件，或者程序try catch用代码生成的dmp文件。分析dmp文件，也大致上以上步骤，只不过上面是绑定文件，这个是打开dmp文件而已。

打开 dump 文件

---

扩展

绑定进程，调试dmp文件，当然除了windbg之外，还可以直接用vs编译器，这是最好不过的事，只是vs编译器体积实在太大了，没有windbg小巧方便。

---

更精彩内容，请关注我的博客：https://wenfh2020.com

5人点赞

windows

作者：wenfh2020
链接：https://www.jianshu.com/p/be2a650e27db
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。