windbg命令学习2

一、windbg查看内存命令：

当我们在调试器中分析问题时, 经常需要查看不同内存块的内容以分析产生的原因, 并且在随后验证所做出的假设是否正确. 由于各个对象的状态都是保存在内存中的, 因此内存的内容也就相当于对象的状态.

d命令最常见的格式就是根据指定的类型信息来显示存储在某地址中的数据. 调试器并不会去猜测这个地址上存储的是什么数据, 因为在大多数情况下猜测都是错误的. 所以需要用户显式地制定按照何种格式来解析数据. 命令格式如下:

语法：d [type][address range]　　　　//d*　　命令显示给定范围内存的内容

d, da, db, dc, dd, dD, df, dp, dq, du, dw, dW, dyb, dyd (Display Memory)

如果省略掉Range ，命令将会从上一条内存查看命令结束的位置开始。这使得可以连续的进行内存查看。

1.da：ASCII 字符每行最多48个字符。显示一直继续直到遇到第一个null字节或者到达range 值指定的所有字符都已经显示。所有不可打印字符，如回车和换行都被显示为点号(.)。

2.db：字节值和ASCII字符每个显示行都包含该行第一个字节的地址，后面跟16进制字节值。这些字节值后面会紧跟它们对应的ASCII值。第8和第9个16进制值之间会用连字号(-)分隔。所有不可打印字符，如回车和换行都被显示为点号(.)。

3.dc：双字值(4字节)和ASCII字符。每个显示行都会显示行中第一个数据的地址，并且每行最多显示8个16进制值以及它们对应的ASCII字符。默认的显示数量为32个DWORD(128字节)。

4.dd:双字值(4字节) 默认的显示数量为32个DWORD(128字节)。

示例：

1. 0:000> da 0027eb3c   
2. 0027eb3c  "Tencent Technology(Shenzhen) Com"
3. 0027eb5c  "pany Limited"
4. 0:000> ea 0027eb3c  "Tencent Technology(Shenzhen) Company Limited1"
5. 0:000> da 0027eb3c
6. 0027eb3c  "Tencent Technology(Shenzhen) Com"
7. 0027eb5c  "pany Limited1"

二、在内存中搜索某个值：  命令 s

命令s(表示搜索search), 是一个非常有用的命令, 可以用来在调试目标内找出已知的值.

这个命令的参数包括素要搜索的类型和值.

s –d 0012ff40 L1024 c0000005

其中-d代表双字DWORD, 是搜索的类型. 其他类型例举如下:

• b – Byte
• w – WORD
• d – DWORD
• q – QWORD
• a – ASCII字符串
• u – Unicode字符串

三、查看内存的每个位置上都包含着什么

在调试时, 对象和栈都包含了大量的指针, 我们无法很快地猜测出他们所表示的数据. 虽然我们可以很容易地将内核空间的地址与用户态空间的地址分开, 但要把一个表示栈的地址和一个表示堆的地址区分开却不容易. 我们可以使用一个很有用的扩展命令!address <your address>来解决这个问题.

该命令的参数为一个地址, 如果没有指定地址参数, 那么这个扩展命令将搜索并且枚举所有的内存区域并给出详细的信息.

这个学习起来比较简单：我们直接使用!address -?就可以找到它的使用说明:

-summary 仅显示摘要信息。

Usage SUMMARY： 表示用途摘要，RegionUsageIsVAD：表示此地址区域已被分配；RegionUsageFree：代表此地址区域已被释放，既没有保留也没有被提交，将来可以申请使用；RegionUsageImage：代表此地址区域被映射到二进制文件的镜像；Region UsageStack：代表此地址区域用于线程栈；RegionUsageTeb：代表此地址区域用于保存目标进程的所有线程的TEB结构；RegionUsageHeap：代表此地址区域用于堆内存；RegionUsage Pdb：代表此地址区域用于保存目标进程的PEB结构；RegionUsageProcessParameters：代表此内存块用于保存目标进程的启动参数；RegionUsageEnviromentBlock：代表此地址区域用于保存目标进程的环境块。

Type SUMMARY：  表示类型摘要，共有四种：第一种是什么都不是，即尚未被使用的；第二种是MEM_IMAGE，即地址映射于一个可执行镜像文件片段，如DLL文件；第三种是MEM_ MAPPED，即地址映射于不可执行的镜像文件片段，如页文件；第四种是MEM_PRIVATE，即私有有内存，这里的私有是针对进程而言的，私有内存无法在多个进程间共享；

State SUMMARY： 表示状态摘要，共三种：MEM_FREE，即空闲内存；MEM_RESERVED，即保留内存，保留内存尚不能被实际使用，但其地址空间已被预留，尚需一个提交动作。最后是MEM_COMMIT，即内存已被提交，正在被使用。