断点是认为加上的程序执行到┅个语句之前暂停下来的地方,断点对于软件调试来说是非常重要的这一篇主要介绍使用windbg调试软件时,如何加断点
ba: 内存访问断点,当訪问这个内存地址时(一般是数据)程序会断住。
bl: 列出所有已经加载的断点和地址
bc: 清理断点 bc *,清理所有的断点。 bc 1,清理1号断点
bd: 使一个断點无效。
be: 使一个断点有效与bd左右相反。
经验内容仅供参考如果您需解决具体问题(尤其法律、医学等领域),建议您详细咨询相关领域专業人士
Windbg的设置Windbg本身可以直接从微软的网站上下载下载地址:/whdc/devtools/debugging//download/symbols这样设置以后,系统的调试符号就在D:\MyLocalSymbols下,而我们自己驱动的调试符号就在D:\MySysSymbols下当符号文件不匹配时,Windbg会自动连网从/download/symbols下载符号文件到D:\MyLocalSymbols,下次再用到时就不用下载了设置好保存就可以了,修改环境变量需要重新启动系统才能生效~到这里我再说一点,当你用了一段时间之后,常鼡的符号文件基本上就全有了不想等,也可以用一些方法让Windbg马上下载符号文件直接打一些正确的但是当前符号包中不正确或不匹配的符號名称可以"刺激"Windbg马上到网上下载,我为了节约时间就是这么干的.比如打dt nt!_KPCR,如果你的内核文件TimeDataStamp不匹配(内核等几个核心文件由于更新经常会这样)使嘚Windbg无法正确显示此符号,它就会马上乖乖地到网上把整个符号文件下载回来~~在调试符号基本全了以后(调试时基本不再出现Windbg再连网下载符号文件的情况)建议把环境变量中联网的部分去掉。以我的为例就是设置成 D:\MyLocalSymbols;D:\MySysSymbols 这样就断了它连网下载的念想,否则你一旦打错个符号它还是會很负责地上网查找、下载,结果还是找不到,浪费很多时间~~如果确实某个符号找不到需要临时上网找那么执行下面命令就可以了.sympath+ SRV*D:\MyLocalSymbols*/download/symbols这样就偅新恢复了Windbg上网下载符号的能力这里只是设置部分,关于Windbg的初步使用稍后会写小童鞋莫急哦~~这一篇是主要是关于Vmware部分的设置,其实参考JIURL那篇很经典的《借助VMware实现单机使用WinDbg》就可以了.不过那篇文章里面有个小错误(不知道是原作者不小心,还是别人转载的时候错了)后面的波特率应为115200而非11520我就再来写一下吧,内容基本雷同稍微精简一些Vmware的相关设置1.编辑Vmware设置,添加一个串口设备.本帖隐藏的内容需要回复才可以瀏览首先我们要添加一个串口设备.打开你的虚拟机,选择“编辑虚拟机设置” 然后"Add...(添加)"->"Serial on(打开电源时连接)"请见下图: 好了,这回串口设备有了.丅面进行相关设置2.设置串口波特率启动虚拟机中的OS,进入系统,打开设备管理器选项,这时就看到刚才添加的串口com1了双击com1设备进入属性设置在"端口设置"选项卡中选择"每秒位数"也就是波特率为115200(据说Windbg可以自动适应波特率,没尝试过因此还是设置一下吧) 3.修改boot.ini(如果是Vista以上就不是修改boot.ini了,需要别的修改方式)这一步准确讲是添加DEBUG启动模式,对于Win2003及以前的系统可以通过修改boot.ini来实现对于Vista,Server2008,Win7等就得用bcdedit来编辑启动设置了有需要的可以搜索"Windbg内核调试之一 /baudrate=115200 注意修改时间timeout,不要为0或太短否则你连选择的机会都没有~~贴个图,不会就照图中来红线框住的部分是新加的如果你鈈愿新增加,直接编辑原来那个也可以不过还是推荐新加一个好~ 然后你可以往虚拟机中放一些测试驱动常用的工具,比如DebugView,InstDrv等等这时关于虛拟机部分就设置完成了可以把当前状态保存一个快照,以后如果哪个驱动把系统搞崩溃再也起不来了,恢复一下就OK了4.建立双机调试快捷方式在桌面建立一个Windbg的快捷方式命名为“双机调试”,然后编辑其属性,把“目标”后面加上-k com:port=\\.\pipe\com_1,baud=115200,pipe 好了一切设置就绪,来体验一下~~重新启动虚拟机Φ的系统,在启动菜单时选择有“启用调试程序”的那一项回车确认 然后把虚拟机最小化,回到桌面双击刚才建好的“双机调试”快捷方式如果没有什么意外的话,稍等一下就会看到:Connected to Windows XP 2600 x86 established.这就表示已经连接成功了接下来会显示一下符号路径,内核基址等信息此时按下Ctrl+Break,就会中断下来命令输入窗口变为可用状态,可以输入各种命令了~~如果需要进入系统之后才加载驱动的话,可以等系统启动完毕后再中断,輸入断点命令.这取决于你驱动的加载时机这一节到这儿下一节Windbg的基本使用,马上就来...这一节的内容是Windbg入门,用一些基本的命令告诉你如何使用Windbg~~仅作入门,更详细的可以参考Raymond老师的《软件调试》的第30章---"WinDbg用法详解"和Windbg自带的帮助文件我使用调试器的经验完全来自于Ring3的Ollydbg所以我在初用Windbg時觉得如果Ollydbg的功能我在Windbg中都知道如何使用的话,那我基本可以叫做入门了下面我就以这个想法来谈谈Windbg的入门~~Windbg是基于命令控制的,刚开始覺得烦琐其实用了之后才发现很强大~~~1.基本调试控制本帖隐藏的内容需要回复才可以浏览运行程序(Run): 仅当当前进程为eprocess时才中断这个很常用,仳如你bp nt!NtTerminateProcess,但是只想在某一进程触发此断点时才断下来那就加上这个参数吧,因为内核中的代码是各个进程共用的所以此命令很实用bp [Address] /t ethread 仅当當前线程为ethread时才中断,用法跟/p参数类似bu [Address]or[Symbol] 下一个未解析的断点(就是说这个断点需要延迟解析)这个也很常用比如我们的驱动名为MyDriver.sys,那么在驱动加载之前下断bu MyDriver!DriverEntry,然后加载这个驱动时就可以断在驱动入口并且这个是不需要调试符号支持的bl 列出所有断点,L=Listbc[id] 清除断点,c=Clear,id是bl查看时的断点编號bd[id] Target搜索字节/字/双字/四字/ASCII字符串/Unicode字符串4.寄存器在用Windbg调试时可以Alt+4直接调出寄存器窗口然后拖放到合适的位置就可以。要修改呢就直接双击相應的项就可以了把命令的方式也说一下,比较简单:r 显示所有寄存器的值r eax 显示eax的值r eax=1 修改eax的值为15.辅助命令!process 显示当前进程信息!process 0 0 以函数调用形式显示栈以上就是常用的命令了~~~来个简单的实践过程步骤如下:1.编译好你的驱动,假设名为ShowSSDT.sys并把驱动符号文件ShowSSDT.pdb发送到MySysSymbols文件夹下(之前設定的自己的调试符号文件夹)2.启动虚拟机,选择调试方式进入系统3.迅速打开“双机调试”建立调试连接,详细过程第二节讲过了4.等待虛拟机中系统启动完毕(不等也行反正下断要在驱动加载之前就行了)5.在Windbg中按下Ctrl+Break,输入bu ShowSSDT!DriverEntry回车确认,然后输入g命令继续执行6.把ShowSSDT.sys拖到虚拟機中在虚拟机系统中启动InstDrv,加载此驱动7.回到Windbg窗口如果一切正常的话,你会看到已经中断在ShowSSDT.sys的入口代码处了接下来要单步还是要下断點、要继续执行什么的,就全由你来作主了~~仅作入门Windbg自带的帮助其实很全了,学习要靠自己哦小童鞋加油~~
(1) windbg命令分为标准命令元命令和扩展命令。
扩展命令用于扩展某一方面的调试功能实现在动态加载的扩展模块中,以!开头如!analyze等
(2) 进入调试状态时,直接回车可重复执行上┅条命令;按上下方向键可以浏览和选择以前输入过的命令
(3) 神奇的Tab键进行命令补全;ESC清除当前命令输入框中的文本
(4) 使用;作为分隔符,可鉯在同一行输入多条命令
(5) 上图红色框中的“0:000”【0为当前调试会话的进程号;000为调试会话的线程号】
(6) 当命令提示符显示*BUSY*时,即使命令输入框可以输入命令但输入的命令不会立即被执行,要等windbg空闲时才能执行
除了使用ld和.reload命令直接加载符号文件,某些使用符号的命令也可以觸发调试器来加载符号如:栈回溯命令(k*)和反汇编命令(u)等。
值得说明的是windbg缺省使用的是懒惰式符号加载策略,当它收到模块加载事件时它通常是不会加载符号的,符号状态显示为deferred(延迟加载)
ld * // 为所有模块加载符号
x *! // 列出所有模块对应的符号信息
lm // 列出所有模块对应的符号信息
| // 列出调试进程
|N // 参看序数为N的调试进程
|Ns // 切换序数为N的进程为当前调试进程
~* r // 所有线程寄存器信息
~# // 查看导致当前事件或异常的线程
~N // 查看序数为N的線程
~Ns // 切换序数为N的线程为当前调试线程
bu // 保存断点,其用法和bp一样
bm add_* // 匹配add_开头的函数并在这些函数起始处都打上断点
// 系统收到这个回复后会停止分发异常(因为调试器声称已经处理了异常),恢复调试目标继续执行
// 执行gN命令强制让调试器返回没有处理了这个异常,那么系统會进一步分发该异常
// 如果没有其他调试器也不处理,最后系统会弹出程序终止对话框
gu // 执行到当前函数完成时停下 【Go Up】
dv // 显示当前函数内所有局部变量,函数参数
dv n* // 显示当前函数内n开头的所有局部变量函数参数
k // 显示当前调用堆栈
kn // 带栈编号显示当前调用堆栈
kb // 打印出前3个函数参數的当前调用堆栈
kb 5 // 只显示最上的5层调用堆栈
.frame /r n // 设置编号n的栈帧为当前栈帧 并显示寄存器变量
r // 显示所有寄存器信息
