Windbg断点 dt命令

bp 在某个地址下断点
   bp 0x7783FEB
   bp MyApp!SomeFunction
   对于后者，Windbg会找到MyApp!SomeFunction对应的地址并设置断点。使用bp的问题：1、代码修改之后，函数地址改变，该断点仍然保持在相同位置，不一定继续有效；2、Windbg不会把bp断点保存工作空间中，所以，我比较喜欢用bu 命令。

bu 针对某个符号下断点。
   bu MyApp!SomeFunction
   在代码被修改之后，该断点可以随着函数地址改变而自动更新到最新位置。而且bu 断点会保存在WinDbg工作空间中，下次启动 Windbg的时候该断点会自动设置上去。
另外，模块没有被加载时，bp 断点会失败（因为函数地址不存在），而bu 断点则可以成功。 新版的Windbg中bp失败后会自动被转成bu。

bm 针对符号下断点，支持匹配表达式。
   bu MyApp!MyClass::*     // 把MyClass 所有的成员函数都下断点
   bu user32!CreateWindow* // 把所有以CreateWindow开头的函数都下断点
   以上三个命令是对代码下断点，我们还可以对数据下断点。
ba 针对数据下断点，该断点在指定内存被访问时触发。
   命令格式：ba Access Size [地址]
             Access 是访问的方式，比如 e(执行)，r(读/写)，w(写)
             Size 是监控访问的位置的大小，以字节为单位。 值为 1、2或4，还可以是 8（64位机）。
             对内存0x0483DFE进行写操作的时候下断点，可以用命令 ba w4 0x0483DFE

bl 列出所有断点
bc 清除断点
bd 禁用断点
be 启动被bd 命令经用的断点

 

 

Windbg提供dt命令来显示符号类型信息（Dump symbolic Type information），有以下3种用法：
1、dt [ModuleName]!TypeName，若省略模块名，则自动查找所有已加载的模块，如“dt ntdll!*”显示ntdll里的所有类型信息。
   其中，-b开关指定递归显示所有子类型信息，-r加数字指定递归显示的深度，如-r0表示不显示子类型信息。
   若不想显示全部字段，可以使用开关-ny附加字段过滤搜索信息，如dt _TEB -ny LastError。
2、第2种用法是在上一种用法之后加上内存地址，按照指定的内存地址的内容来显示具体类型的变量。
3、第3种用法是显示类型的实例，如全局变量、静态变量和函数。同样可以枚举函数符号，
   此时同x命令的功能相似，如dt dbgee!*wmain*，若是指定的函数，则会显示该函数的参数取值和返回值类型。