Windbg 实战常用命令--会不断更新

1 查看指针变量指向的内存：

 db poi(variable)  ; 即，将指针变量用poi() 括起来即可。

查看当前进程相下文信息命令，也可以指定EPROCESS 地址方式查看指定进程的上下文，不输入就是查看当期的

!process
同理  !thread 查看当前线程的，能输出线程调用栈

.dump 生成当前的DUMP文件，有具体的命令行能控制生成何种类型的dump

查看变量命令，-v 能够给出结构体每个字段的长度。

1. 0:000> dt -v _image_nt_headers  
2. OGame!_IMAGE_NT_HEADERS  
3. struct _IMAGE_NT_HEADERS, 3 elements, 0xf8 bytes  
4.    +0x000 Signature        : Uint4B  
5.    +0x004 FileHeader       : struct _IMAGE_FILE_HEADER, 7 elements, 0x14 bytes  
6.    +0x018 OptionalHeader   : struct _IMAGE_OPTIONAL_HEADER, 31 elements, 0xe0 byte

查看指针变量指向内存数据 poi()

查看结构体大小  ?? sizeof(_image_nt_headers)

         注意，此处给出的结构体一定是typedef 后面的那个原始定义名