windbg中的调试指令有三种：  http://www.360doc.com/content/16/1110/14/30953065_605412205.shtml

1. 基本命令： 调试器自带，提供最基本的调试功能，不区分大小写。 例如 bp ，g  ，dt ，dv ，k，s等

2. 元命令：调试器自带，以“.”开头. 提供基本命令没有提供的功能。例如 .reload  .sympath等

3. 扩展命令：外部加入的命令，以“！”开头。用于扩展某一方面的调试功能，其实现在动态加载的模块中。例如：!analyze

使用；分隔符，可以在一行输入多个命令。使用 ctrl + break 可以终止一个命令。当输入框显示为busy时，即使输入框可以输入命令，输入的命令也不会立刻执行。

一. windbg 启动调试的办法

分为两种:

1. 命令行方式启动：（又分为打开和附加两种方式）

windbg  - i        // 将windbg设置为默认调试器

windbg “notepad”  arguments   //使用windbg 启动notepad调试，设置启动参数

windbg -p  4200    //使用windbg 附加到一个正在运行的PID = 4200的进程

windbg -pn "notepad"  //使用windbg附加到一个正在运行的名字为"notepad"的进程

2. 图形界面方式：直接运行windbg.exe

二. 常用的元命令

1.   .restart      //重启并调试

2   .kill             //强制结束当前调试

3.  .help          //打印出所有元命令

4.   .hh            //打开windbg  chm帮助文档

三. 常用基本命令

1.  搜索命令

       s -a 0012ff40 L0x20 "Hello"     //搜索ansi字符串“hello”， 从0012ff40地址开始， 长度是 0x20的范围。即搜索范围是 0012ff40~ 0012ff60.

 2.  断点命令

      bp 0040108c             //直接在地址下断

      bp test1!Max  ； bp  Max          //直接在函数名上下断

      bp  'test1.cpp:30'                         //在test1.cpp第30行下断

      bp  CObject::CObject           //在CObject构造函数上下断

     bp   kernel32!CreateFileA      //在kernel32.dll模块CreateFileA函数头位置下断

     bp  TestCommand!CObject::add   //在TestCommand.dll模块的CObject类函数add头部下断。

     bp `ConsoleTest.cpp:40` ".if (poi(pVar)>5) {};{g}"

      // ".if (Condition) {Optional Commands}; {g}"    条件断点 pVar指针指向的值>5，执行空语句（;），断住  否则继续执行

      bu  test1!Max  ；bu  Max          //在函数的开头下断

      bm add_*                     // 匹配add_开头的函数，并在这些函数起始处都打上断点

     ba w4 0x0483dfe0// 当对0483dfe0地址写操作时停下，前面要带上0x，否则会报错。

          //ba [r|w|e] [Size] Addr      [r=read/write, w=write, e=execute], Size=[1|2|4 bytes]

           //这个指令比较强大，可以下内存访问，写入以及执行断点。  内存大小Size ：单字节， 双字节，4字节，8字节。

 3. 断点管理

bl       // 列出所有断点     breakpoint  list

bc *     // 清除所有断点    breakpoint  clear

bc 1     // 清除1号断点

bc 1 2 5      // 清除1号、2号、5号断点

be *       // 启用所有断点   breakpoint   enable

be 1      // 启用1号断点

be 1 2 5     // 启用1号、2号、5号断点

bd *      // 禁用所有断点   breakpoint  disable

bd 1     // 禁用1号断点

bd 1 2 5      // 禁用1号、2号、5号断点

4. 断点执行

g       // Go(F5)

gu     // 执行到当前函数完成时停下【Go Up】

p      // 单步执行(F10)  【Step】

 pc     // 执行到下一个函数调用处停下【Step to  Next　Call】

 pa 7c801b0b      // 执行到7c801b0b地址处停下  【Step to Adress】

 t        // Step into(F11)　【Trace】

tc       // 执行到下一个进入点处停下　【Trace to Next Call】

ta 7c801b12       // 执行到7c801b12地址处停下 【Trace to Adress】

5.  进程相关

|         // 列出调试进程

|*        // 列出调试进程

6.  线程相关

~       // 列出线程

~*       // 所有线程

~* k     // 所有线程堆栈信息

~* r    // 所有线程寄存器信息

~.       // 查看当前线程

~0s      // 查看主线程

~#      // 查看导致当前事件或异常的线程

7.  模块相关

lm     //列出进程加载模块 

8. 查看变量

dt     i_c        //查看变量地址， 类型， 值

dt ntdll!*      // 显示ntdll里的所有类型信息

dt  *!*IMAGE_DOS*     // 显示所有模块中含有IMAGE_DOS字符的类型信息

dt myApp!g_app             // 表示显示myApp进程里全局变量g_app的内存布局

dt WindbgTest!CTest       // 查看模块WindbgTest的CTest的内存布局

dt WindbgTest!CTest 0x0041f8d4          // 将0x0041f8d4地址处内容按照模块WindbgTest的CTest的内存布局来解析

 dt this                   // 查看this指针的类型及成员变量

dt  -v   _PEB @$PEB           // 使用详细模式查看PEB（process's environment block）内存结构

dt   tagMSG 0x0336e54c              // 类型要使用tagMSG，不能使用typedef产生出的MSG

typedef  struct   tagMSG{

HWND hwnd;

UINT message;

WPARAM wParam;

LPARAM lParam;

DWORD time;

POINT pt;

} MSG, *PMSG;

dv               // 显示当前函数内所有局部变量，函数参数的值   

dv  nCount    // 查看局部变量nCount的值

x              //显示当前函数内所有局部变量 ，函数参数的值， 包括变量地址、

x   nCount   // 查看局部变量nCount的值 和地址

9.  查看堆栈

k          // 显示当前调用堆栈

kn        // 带栈编号显示当前调用堆栈

kb         // 打印出前3个函数参数的当前调用堆栈

kb 5        // 只显示最上的5层调用堆栈

kv             // 在kb的基础上增加了函数调用约定等信息

kp         // 显示每一层函数调用的完整参数，包括参数类型、名字、取值（必须是完整符号的情况下，private symbols）；注意：若程序被优化，这些值不一定对

kd         // 打印堆栈的地址

dds        //显示栈帧

10. 显示反汇编

u      //显示当前eip位置往后的8条指令

uf CTest::add    // 反汇编CTest类的add函数

uf /c main         // 反汇编main函数，通过/c可以查看main函数中的函数调用(call)都有哪些

ub 000c135d L20          // 查看地址为000c135d指令前的20条指令内容

11.  显示寄存器

r                // 显示所有寄存器信息及发生core所在的指令

r eax, edx     // 显示eax，edx寄存器信息

r eax=5, edx=6       // 对寄存器eax赋值为5，edx赋值为6

12. 显示内存

!address       // 查看进程的所有内存页属性

!address 7ffd8000       // 查看7ffd8000地址处内存页属性

dd /c 5 7c801e02      // 从7c801e02内存处开始以dword为单位显示内存（宽度为：5）

dd /c 5 7c801e02 L8    // 从7c801e02内存处开始以dword为单位显示内存（宽度为：5）【显示8个dword】

da /c 100 7c80ff03     // 从7c80ff03内存处开始显示Ascii字符串（宽度为：100）

du /c 100 7c8022f5     // 从7c8022f5内存处开始显示Unicode字符串（宽度为：100）

s -w 522e0000 L0x100  0x1212 0x2212 0x1234    // 表示在起始地址522e0000之后的0x100个单位内搜索0x1212 0x2212 0x1234系列的起始地址

s -u 522e0000 527d1000 "web"    //表示在522e0000 和527d1000之间搜索Unicode 字符串”web”

ea 0x445634 "abc"    // 表示在0x445634地址写入Ascii字符串abc, 不包含结束符0

eza 0x445634 "abc"    // 表示在0x445634地址写入Ascii字符串abc, 包含结束符0

eu 0x445634 "abc"   // 表示在0x445634地址写入Unicode字符串abc, 不包含结束符0

ezu 0x445634 "abc"    // 表示在0x445634地址写入Unicode字符串abc, 包含结束符0

ed nCounter 80      // 将变量nCounter的值修改为80（注：80为10进制还是16进制，还是其他，取决于当前进制）

.writemem D:\Test\0041a5e4.bin 0041a5e4 L0x1000   // 将内存地址处0x0041a5e4后面0x1000长度的内容拷贝存储到D:\Test\0041a5e4.bin中

13 查看堆

!heap -s     // 显示进程堆的个数（每一项是一个堆，也就是_HEAP结构指针，对应的API是HeapCreate）

dt _HEAP 00140000   // 选取一个堆的地址，打印该堆的内存结构

!heap -a 00140000   // 选取一个堆的地址，打印该堆的信息，比上面打印内存命令更详细直观

14. 虚拟内存

!vadump   // 查看虚拟内存布局

15. 查看句柄

！handle   // 查看所有句柄的ID