Windbg常用命令详解-卡核

10.0及以上版本的windbg支持了一些智能操作，不再需要输入一些复杂的命令去查看信息，只要点击一些超链接即可自动生成命令并执行，这比老版本的windbg要方便很多。但我们还需要去掌握一些常用的Windbg基本命令，这些命令是必须要掌握的，也是分析问题时频繁使用的。

图片[1]-Windbg常用命令详解-卡核

1、Windbg命令分类

Windbg提供三大类型的命令：
1）标准命令：基本的调试命令，不区分大小写，比如g、kn、kv、lm等。
2）元命令：内建在调试引擎中命令，提供标准命令没有提供的功能，命令以.开头，比如.excr、.reload、.dump等。
3）扩展命令：用于扩展某一方面的调试功能，实现在动态加载的扩展模块中，以!开头。如!analyze等。

2、常用的命令

2.1、.ecxr命令

该命令主要用在静态分析dump文件时，用来切换到发生异常的线程中，显示发生异常的线程的上下文。因为windbg打开dump文件时，并不会自动切换到发生异常的线程，需要我们手动使用该命令去切换，如下所示：

图片[2]-Windbg常用命令详解-卡核

在设置pdb路径或者使用.reload命令加载pdb文件后，需要再执行一下.ecxr命令重新切换到异常的线程中。

2.2、kn/kv/kp命令

用来查看当前所在线程的函数调用堆栈。kn只是查看函数调用堆栈，kv可以查看函数调用堆栈中函数调用的参数：

图片[3]-Windbg常用命令详解-卡核

查看windbg的帮助文档，说kp命令可以查看到函数调用的参数，实际上并没有显示参数。

有时程序有线程发生卡死，但不知是哪个线程卡死了，此时可以使用~*kn命令，将所有的线程的函数调用堆栈都打印出来：

图片[4]-Windbg常用命令详解-卡核

看哪些线程卡在WaitForSingleObject接口上了，尝试着找出发生卡死的线程。

2.3、lm命令

用来查看进程空间中加载的dll库或者exe的信息，比如库的路径、时间戳、库的加载地址等。一般使用模糊匹配的模式，比如：lm vm testdlg*，其中，模块名称末尾要加上用于模糊匹配的*号；vm是给lm命令传递的参数。

使用该命令，还可以查看目标库有没有成功加载pdb文件，如果成功加载了pdb文件，则会显示已加载的pdb文件的完整路径，如下：

图片[5]-Windbg常用命令详解-卡核

2.4、.reload命令

用来加载pdb文件，一般用来强制加载某个pdb文件，比如：.reload /f hwcodec.dll。注意，这个命令中的名称要使用完整的文件名称。有时在windbg中设置pdb文件路径后，windbg没有去自动加载相关的库，此时就需要我们使用.reload命令去手动加载了。这个手动加载也称为强制加载。