| 1、.symfix //自动加载修复符号 设置完符号路径后,自动修复符号路 径,添加上微软符号服务 2、!sw //切换模式比如切换32模式 .load wow64exts !sw 3、!analyze -v //自动分析错误 4、.reload /f xxx.dll //重新强制载入xxx模块的符号 5、.exr -1 //显示异常 6、!locks查看所有的线程占用的锁 7、!runaway 分析所有线程占用时间 8、!cs 00417140 显示一个临界区信息 9、~~[c6e4]kbn 限制某一个指定线程堆栈 10、.formats 627cf 多种格式转化 11、dS 地址 输出地址下的unicode字符串 12、!handle 查看某一个句柄的类型 !handle 句柄值 13、dd ntdll!CsrProcessId l2 (dd不加long 数字默认显示一串, 加上数字显示几个long类型的) 14、uf ntdll!DbgBreakPoint 反汇编一个函数 15、!object 对象地址 //观察一个对象类型 16、!peb 查看当前程序进程环境块 17、.process EPROCESS地址 //切换默认进程 18、内核模式下 !process 0 0 //列出所有进程 19、!lpc port 端口对象 //查看lpc端口对象信息 20、.ecxr 查卡异常栈帧,可以看局部变量等 21、.sympath 查看当前符号搜索路径 22、lm m real* 查看某个模块 23、!address 地址或者寄存器,可以查看内存属性 24、r esp,ebp 查看寄存器值 25、!teb 查看当前线程线程环境块 26、x kernel32!*ErrorMode* 查找某个模块中相关符号支持正则 用到再加入 |