8.windbg-vertarget、lm
vertarget
vertarget:显示目标机的Microsoft Windows操作系统版本
用户模式:
0:000> vertarget Windows 7 Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatible Product: WinNt, suite: SingleUserTS kernel32.dll version: 6.1.7601.18847 (win7sp1_gdr.150508-1512) Machine Name: Debug session time: Tue Aug 11 10:52:03.810 2015 (GMT+8) System Uptime: 7 days 1:19:36.017 Process Uptime: 0 days 0:00:15.234 Kernel time: 0 days 0:00:00.031 User time: 0 days 0:00:00.000内核模式:
lkd> vertarget Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Built by: 2600.xpsp.080413-2111 Machine Name: Kernel base = 0x804d8000 PsLoadedModuleList = 0x80554fc0 Debug session time: Tue Aug 11 10:53:08.240 2015 (GMT+8) System Uptime: 0 days 0:22:54.406
lm
lm:显示指定的已加载/未加载模块。输出中包含模块状态和路径
0:001> lm o ///< o 仅显示已加载模块 start end module name 012a0000 01335000 PPSeedTool (deferred) ............. 77dd0000 77f50000 ntdll (pdb symbols) C:\Program Files (x86)\Debugging Tools for Windows (x86)\sym\wntdll.pdb\370278F5B1BA4A16B0DC8199E9623C3C2\wntdll.pdb
0:001> lm l ///< l 仅显示已加载符号信息的模块。 start end module name 77dd0000 77f50000 ntdll (pdb symbols) C:\Program Files (x86)\Debugging Tools for Windows (x86)\sym\wntdll.pdb\370278F5B1BA4A16B0DC8199E9623C3C2\wntdll.pdb
0:001> lm v ///< 显示详细信息。输出中包含符号文件名、映像文件名、校验和信息、时间戳和该模块是否是托管代码(CLR)的信息
start end module name
012a0000 01335000 PPSeedTool (deferred)
Image path: PPSeedTool.exe
Image name: PPSeedTool.exe
Timestamp: Wed Aug 05 11:21:35 2015 (55C1813F)
CheckSum: 00000000
ImageSize: 00095000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
5c640000 5c6fc000 DmMain (deferred)
Image path: I:\GameDL\Tools\PPSeedTool\build\Debug\DmMain.dll
Image name: DmMain.dll
Timestamp: Fri Jul 24 14:49:39 2015 (55B1E003)
CheckSum: 000ADDF0
ImageSize: 000BC000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
lkd> lm k ///<(仅内核模式)仅显示内核模式符号信息 start end module name 804d8000 806d0480 nt (pdb symbols) c:\mysymbol\ntkrnlpa.pdb\30B5FB31AE7E4ACAABA750AA241FF3311\ntkrnlpa.pdb Unloaded modules: afef5000 aff20000 kmixer.sys .................................. babe8000 babed000 Cdaudio.SYS ba56e000 ba571000 Sfloppy.SYS
0:001> lm 1m ///< 仅显示名字,用于windbg script传入 PPSeedTool DmMain uxtheme MSVCR90 MSIMG32 COMCTL32
比如用于.foreach中
0:001> .foreach (module {lm1m}) {lm vm ${module}}
start end module name
012a0000 01335000 PPSeedTool (deferred)
Image path: PPSeedTool.exe
Image name: PPSeedTool.exe
Timestamp: Wed Aug 05 11:21:35 2015 (55C1813F)
CheckSum: 00000000
ImageSize: 00095000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
start end module name
5c640000 5c6fc000 DmMain (deferred)
Image path: I:\GameDL\Tools\PPSeedTool\build\Debug\DmMain.dll
Image name: DmMain.dll
Timestamp: Fri Jul 24 14:49:39 2015 (55B1E003)
CheckSum: 000ADDF0
ImageSize: 000BC000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
0:001> lm sm ///< 按文件名排序 start end module name 768b0000 76950000 ADVAPI32 (deferred) 75400000 75484000 COMCTL32 (deferred)
// 查找地址所在模块
0:001> lm a 75400010 start end module name 75400000 75484000 COMCTL32 (deferred)
// 通配符
0:001> lm m ker* start end module name 76b50000 76c60000 kernel32 (deferred) 77380000 773c7000 KERNELBASE (deferred)
| 缩写 | 含义 |
|---|---|
| deferred | 模块已经加载,但是调试器还没有尝试加载它的符号。符号将在需要的时候被加载。 |
| # | 符号文件和可执行文件的时间戳或者校验和有一些不匹配。 |
| T | 时间戳丢失、不能访问或者等于0。 |
| C | 校验和丢失、不可访问或者等于0。 |
| DIA | 符号文件通过调试接口访问(Debug Interface Access (DIA))被加载。 |
| Export | 没有找到实际的符号文件,所以符号信息是从二进制文件的导出表中获得的。 |
| M | 符号文件和可执行文件得时间戳或校验和有些不匹配。但是,因为符号选项的原因符号文件仍然被加载了。 |
| PERF | 该二进制文件包含性能优化后的代码。标准的地址计算方法可能产生不正确的结果。 |
| Stripped | 调试信息已经从映像文件中剥离出来了。 |
| PDB | 符号是.pdb格式的。 |
| COFF | 符号是通用对象文件格式(common object file format (COFF))的。 |
hgy413记于2012.5.9日晚.