Windbg 是 Microsoft 公司推出的免费的、带 GUI 的调试器,支持 Source 和 Assembly 两种模式的调试。

Windbg 不仅可以调试应用程序,还可以进行系统内核调试,Windbg 支持的平台包括 X86、IA64、AMD64。

一、安装

从下面的链接或其他链接下载安装:
Download Debugging tools for Windows

二、配置

常用的配置包含符号文件搜索路径、可执行文件搜索路径、源码文件搜索路径配置。

2.1 符号文件搜索路径配置

在菜单项File -> Symbol File Path中设置,如:

1
D:\symbol_path;SRV*D:\symbolslocal*http://msdl.microsoft.com/download/symbols

意思是先从D:\symbol_path中找符号文件;如果没找到,就去服务器中下载并保存到D:\symbolslocal目录中。

可以使用.sympath+ 命令来添加其他目录到搜索路径中,如.sympath+ D:\other_symbol_dir。 然后使用.reload来根据新的路径重新搜索并加载符号文件。

2.2 可执行文件路径

在菜单项File -> Image File Path中设置,此项是在加载 dump 时,设置可执行文件 exe、dll 的路径的。

2.3 源代码目录配置

在菜单项File -> Source File Path中设置源代码目录。如果当前指令指针在源代码范围内,就会自动跳出源文件窗口。源文件窗口中的操作和 vs 类似。如果没有跳出,可以单机菜单项 Open Source File 手动选择源文件

2.4 设置启动产生

可以通过对 windbg 加入启动参数的方式来指定符号文件路径和源码路径等等。

1
start "" "%~dp0/Debuggers_x86/windbg.exe" -Q -y "D:\symbolslocal*http://msdl.microsoft.com/download/symbols" -srcpath "srv*C:\CodeCache"

三、开始调试

可以通过菜单项File -> Open Executable来加载本地的一个 exe 来进行调试,也可以通过菜单项File -> Attache to a Process来加载一个已经运行的 exe 来进行调试。

具体调试指令可以参考:
Help -> Contents -> Debugging Tools for Windows -> Debuggers -> Debugger Reference

四、工作空间

Windbg 会保存每个你调试的工程的信息,这些信息包括调试项目的属性、参数、会话状态、调试器设置、及图形界面信息,类似于 ide 的项目文件。

每个调试的工作空间信息默认保存在
HKEY_CURRENT_USER\Software\Microsoft\Windbg\Workspaces中,在这个键下一般有 4 个子键 User、Kernel、Dump、Explicit, 他们分别保存用户态调试,内核态调试、转储文件调试、以及手动保存(Save Workspace As)的工作空间信息。

五、窗口界面介绍

名称 热键 用途
Command Atl+1 输入命令、显示命令结果和调试信息输出
Watch Atl+2 观察指令全局变量、局部变量和寄存器的信息
Locals Atl+3 自动显示当前函数的所有局部变量
Registers Atl+4 观察和修改寄存器的值
Memory Atl+5 观察和修改内存数据
Call Stack Atl+6 栈中记录的函数调用序列
Disassembly Atl+7 反汇编
Scratch Pad Atl+8 白板,可以用来做调试笔记等
Processes and Threads Atl+9 显示所有调试目标的列表,包括进程和线程等
Command Browser Ctrl+N 执行和浏览命令

六、常用命令

windbg 命令分为标准命令元命令扩展命令
.开头的元命令提供标准命令没有提供的功能,也内建在调试引擎中。
!开头的扩展命令用于扩展某一方面的调试功能,实现在动态加载的扩展模块中。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
tab键       自动完成命令
.hh         查看指定命令的帮助手册
.reload     重新加载符号文件
.restart    重新启动调试目标

bp $exentry 在程序入口点设置断点,$exentry是一个伪寄存器
bp 0x00401030              在地址0x00401030处设置断点
bp MyTestModule!MyTestFunc 在MyTestModule模块中的MyTestFunc函数处设置断点,前提是该模块符号已经加载
bp MyTestModule!MyTestClass::SetValue        在模块MyTestModule的MyTestClass类成员函数SetValue处设置断点
bp @@C++(MyTestModule!MyTestClass::SetValue) 与上面一样,语法不同,C++语法,上面的为MASM语法
bl 查看设置的断点
be 激活断点
bd 禁用断点
bc 删除某个断点
ba              设置访问断点
ba r 1 0044108c 在内存0044108c的位置开始的下一个字节的读断点
ba w4@@C++(&i)  给变量i地址下4个字节的写断点

g               运行程序,相当于F5
gu              返回函数调用处,相当于shift+F11


u               查看当前正要执行的代码
k               查看当前调用堆栈
~*kb          显示所有进程调用堆栈

~           查看调试进程中的线程信息
!teb        线程环境块
~.          当前线程信息
~#          导致当前异常或调试事件的线程信息
~[Number]s  线程切换

a                                修改当前指令,输入修改的指令按Enter结束
s –a 00400000 L53000 “Wrong”     以ASCII码的形式从00400000处开始往后53000个字节搜索字符串“Wrong”
db 400000       以二进制的方式显示内存地位为400000开始的内容
dd 400000       以DWORD类型查看
d               按上一次的d命令的方式来显示,如果不带参数,则从上一次显示结束的地方继续显示
?i              查看局部变量i的值,会以10进制和16进制同时显示
eb 0012ff78 'a' 'b'      从内存地址0012ff78开始依次写入后面的值
r                        用于查看或者修改寄存器或伪寄存器
r $peb                   $peb是一个伪寄存器,调试器将它定义为当前进程的进程环境块地址
dt                       用于查看结构体内容
!address 400000          查看指定内存地址的信息
dv                       查看当前作用域下局部变量的类型和值

.ecxr                   当前异常的上下文信息
!analyze -v              详细显示当前异常信息,常用于分析dmp文件

|             所有进程列表
|.            当前进程信息
|#            导致当前异常或调试事件的进程信息
|[Number]s    进程切换
!peb        进程环境块

!locks              查看进程中有些锁处于锁定状态
!cs -l              查看处于锁定状态的关键区
!handle 000000c0 f  查看句柄000000c0的信息

七、常用调试方法

7.1、附加进程调试

使用 File 菜单中的 Attach to a Process 选项来选择要附加调试的进程.

7.2、启动新进程并调试

有三种方式可以启动新的进程,并自动附加调试。

方式一:

使用菜单File-> Open Executable选项来选择要启动调试的进程。

方式二:

启动 windbg 时将待调试的程序的文件路径作为参数传递给 windbg。

方式三:

新建注册表项。
在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options”下新建一个以程序名命名的子项,然后在这个子项中新建一个名为DebuggerREG_SZ类型的值,将值设置为 windbg 的全路径,比如:C:\Program Files (x86)\Windows Kits\8.1\Debuggers\x86\windbg.exe。

这样,再运行待调试的程序时,操作系统就会先启动 windbg,并把要调试程序的路径传递给他。

7.3、调试转储文件

使用 File 菜单中的 Open Crash Dump 选项来加载 dump 文件。

7.4、远程调试

服务器(被调试程序的机器)和客户端(发出远程请求的机器)都应该安装版本相同的 windbg,应该有网络连接或者串行口连接。

  • 以 tcp 端口方式:

    以命令行的方式启动服务器中的 windbg,如:windbg.exe -server tcp:port=5005
    以命令行的方式启动客户端中的 windbg,如:windbg.exe -remote tcp:port=5005,server=192.168.1.180

  • 以管道方式:

    以命令行的方式启动服务器中的 windbg,如:windbg -server npipe:pipe=advdbg (adbdbg 为命名管道名称)。
    在客户端中以命令行的方式启动 windbg,如:windbg -remote npipe:server=REMOTEHOSTNAME,pipe=advdbg (REMOTEHOSTNAME 为远程主机名,dbvdbg 为远程主机创建的命名管道名,也可以选择 File 菜单中的 Connect to Remote Session,在弹出来的编辑框中输入远程参数 npipe:server=REMOTEHOSTNAME,pipe=advdbg)

成功连接后,命令行信息区会显示类似如下信息:

1
...(npipe advdbg) connected at Thu Jul 11 14:22:02 2017

之后可以在客户端或者服务器的 windbg 中执行各种调试命令,执行结果会同时显示在两个调试器中。

其它的远程调试方案,可以参考:
https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/remode-debugging-using-windbg

许可协议

本文采用 署名-非商业性使用-相同方式共享 4.0 国际 许可协议,转载请注明出处。

分享文章

快来参与讨论吧~