windbg 자주 쓰는 명령어만 모음

자주 쓰는 명령어만 모아놓는다.

쓸 때마다 찾기 귀찮다..

 

<전역, 전반적인 추적 명령어>

명령어	설명	자세한 설명
vertarget	운영체제 정보 확인 *주 : 메인이 되는 대표 운영체제로 나오므로, 예를 들어 main 급인 Windows NT Windows 7, 8.1, 10 이런 식으로 나오지만 그 항렬과 일치하는 표준 버전을 찾아야 한다.	덤프만 존재하고 타겟에 대한 정보를 추릴 때 사용한다. 윈도우/커널 버전 등이 나온다.  [메인 계열 항렬] Windows 10 | Server 2016 Windows8, 8.1  | Server 2012,R2  Vista,7 | | 2008, R2 XP | Server 2003
.time	덤프 직전까지의 시간	debug session time : 덤프 뜬 시간 system uptime : 시스템 동작 후 가동 시간
!running -it	모든 실행 중인 스레드/콜스택 출력	codemakestheworld-2020.tistory.com/25
!dml_proc	모든 실행 중인 프로세스 목록, 정보 !process 주소 와 함꼐 사용	링크
!heap -stat	전반적인 힙 정보 출력	자세한 건 따로 <링크>
!heap stat -h address	특정 힙 세그먼트에 대한 정보 보여줌	자세한 건 따로 <링크>
!peb !teb	teb, peb 출력	자세한 건 따로 <링크>
!proces !thread	프로세스, 스레드 정보 출력

 

<주요 디버깅 명령어>

명령어	설명	자세한 설명
r	레지스트리 확인
u address	어셈블리 확인
d{b,w,d,q,W,C,A> 메모리, 변수값 확인	바이트, 워드, 아스키, 문자열 등등으로 출력 많이 쓰이는 것 :  da, du : 아스키/유니코드 출력 dd, db : 더블 워드, 바이트	d +  b - 바이트 d - 더블 워드 q - 쿼드 워드 W - 워드단위 아스키출력 c  -  더블 단위 아스키 a  - 아스키 u  - 유니코드 b <start address> <end address> d  <start address> L<element number>
u{f}	디스어셈블 자주 쓰는 명령어 uf : 심볼, 위치의 디서셈블 ex) uf module!Function + 0x20b u :  주소를 디서셈블 ex) u 0x주소   [L(-) number] number만큼 ( + - ) 거리 코드	자세한 건 링크

 

<일반/세팅명령어>

명령어	설명	자세한 설명
.cls	커맨드 창 깨끗이
.sympath	심볼 경로 상태 확인
!wow64exts.sw	64비트 디버거에서 WOW64 환경에서 돌아가는 Win32 app를 디버깅할 때 스위칭 명령	콜스택에 wow64cpu!CpuSyscallStub + @!#$ 어쩌구가 나오면 전환시켜주자.  아니면 그냥 windbg(x86)으로 맞춰서 실행시켜준다.
SRV*C:\Mysymbols*http://msdl.microsoft.com/download/symbols	맨날 하는 바로 그거 msdn 심볼 서버 추가해주기, 하도 많이 써서 ....  .reload 후 analyze -v 해주기 (재분석)	자동화하자. 귀찮다.