WinDebug的一些基本使用命令

查看当前线程的调用堆栈 

kb
查看全部线程的调用堆栈

~*kb

 

显示分析的详细信息

!analyze -v 

继续执行

g

查看线程详细信息，例如线程入口地址

~21 （数字代表线程id）

 

查看变量地址

x 变量名，可以用通配符

例如

x 05memcorrupt!g_*

用给定类型查看对象

dt 类型名 地址

例如

dt CAppInfo 0x00032cb0

查看给定地址的内容

dd 地址

例如

dd 0x72726443

以下都是看内容，显示的形式不同而已

dc

du

dds

dpp

dpa

dpu

查看当前指令

u eip

查看给定地址的代码内容

u 7c80540f

 

查看加载的全部模块的起始地址

lm

同时包含起始和结束的信息

------------------------------------------------------------

 

展开当前调用栈的内容

dd esp esp+100

注意这里要用正数，注意栈的生长方向

------------------------------------------------------------

查看给定代码地址对应的模块

ln 0100156a

-----------------------------------------------------