8.windbg-vertarget、lm

vertarget

vertarget：显示目标机的Microsoft Windows操作系统版本

用户模式:

0:000> vertarget
Windows 7 Version 7601 (Service Pack 1) MP (4 procs) Free x86 compatible
Product: WinNt, suite: SingleUserTS
kernel32.dll version: 6.1.7601.18847 (win7sp1_gdr.150508-1512)
Machine Name:
Debug session time: Tue Aug 11 10:52:03.810 2015 (GMT+8)
System Uptime: 7 days 1:19:36.017
Process Uptime: 0 days 0:00:15.234
  Kernel time: 0 days 0:00:00.031
  User time: 0 days 0:00:00.000

内核模式:

lkd> vertarget
Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 2600.xpsp.080413-2111
Machine Name:
Kernel base = 0x804d8000 PsLoadedModuleList = 0x80554fc0
Debug session time: Tue Aug 11 10:53:08.240 2015 (GMT+8)
System Uptime: 0 days 0:22:54.406

 lm

lm:显示指定的已加载/未加载模块。输出中包含模块状态和路径

0:001> lm o		///< o 仅显示已加载模块
start    end        module name
012a0000 01335000   PPSeedTool   (deferred)                        
.............         
77dd0000 77f50000   ntdll      (pdb symbols)          C:\Program Files (x86)\Debugging Tools for Windows (x86)\sym\wntdll.pdb\370278F5B1BA4A16B0DC8199E9623C3C2\wntdll.pdb

0:001> lm l           ///< l 仅显示已加载符号信息的模块。
start    end        module name
77dd0000 77f50000   ntdll      (pdb symbols)          C:\Program Files (x86)\Debugging Tools for Windows (x86)\sym\wntdll.pdb\370278F5B1BA4A16B0DC8199E9623C3C2\wntdll.pdb

0:001> lm v ///< 显示详细信息。输出中包含符号文件名、映像文件名、校验和信息、时间戳和该模块是否是托管代码(CLR)的信息
start    end        module name
012a0000 01335000   PPSeedTool   (deferred)             
    Image path: PPSeedTool.exe
    Image name: PPSeedTool.exe
    Timestamp:        Wed Aug 05 11:21:35 2015 (55C1813F)
    CheckSum:         00000000
    ImageSize:        00095000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
5c640000 5c6fc000   DmMain     (deferred)             
    Image path: I:\GameDL\Tools\PPSeedTool\build\Debug\DmMain.dll
    Image name: DmMain.dll
    Timestamp:        Fri Jul 24 14:49:39 2015 (55B1E003)
    CheckSum:         000ADDF0
    ImageSize:        000BC000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

lkd> lm k    ///<(仅内核模式)仅显示内核模式符号信息
start    end        module name
804d8000 806d0480   nt         (pdb symbols)          c:\mysymbol\ntkrnlpa.pdb\30B5FB31AE7E4ACAABA750AA241FF3311\ntkrnlpa.pdb

Unloaded modules:
afef5000 aff20000   kmixer.sys
..................................
babe8000 babed000   Cdaudio.SYS
ba56e000 ba571000   Sfloppy.SYS

0:001> lm 1m     ///< 仅显示名字,用于windbg script传入
PPSeedTool
DmMain
uxtheme
MSVCR90
MSIMG32
COMCTL32

比如用于.foreach中

0:001> .foreach (module {lm1m}) {lm vm ${module}}
start    end        module name
012a0000 01335000   PPSeedTool   (deferred)             
    Image path: PPSeedTool.exe
    Image name: PPSeedTool.exe
    Timestamp:        Wed Aug 05 11:21:35 2015 (55C1813F)
    CheckSum:         00000000
    ImageSize:        00095000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4
start    end        module name
5c640000 5c6fc000   DmMain     (deferred)             
    Image path: I:\GameDL\Tools\PPSeedTool\build\Debug\DmMain.dll
    Image name: DmMain.dll
    Timestamp:        Fri Jul 24 14:49:39 2015 (55B1E003)
    CheckSum:         000ADDF0
    ImageSize:        000BC000
    Translations:     0000.04b0 0000.04e4 0409.04b0 0409.04e4

0:001> lm sm      ///< 按文件名排序
start    end        module name
768b0000 76950000   ADVAPI32   (deferred)             
75400000 75484000   COMCTL32   (deferred)    

// 查找地址所在模块

a Address

指定包含在模块中的一个地址。只有包含该地址的模块会被显示出来。如果 Address是一个表达式，它必须用圆括号括起来。

0:001> lm a 75400010
start    end        module name
75400000 75484000   COMCTL32   (deferred)

//  通配符

0:001> lm m ker*
start    end        module name
76b50000 76c60000   kernel32   (deferred)             
77380000 773c7000   KERNELBASE   (deferred)  

可以注意到，上面有 deferred这种符号状态缩写

符号状态

缩写	含义
deferred	模块已经加载，但是调试器还没有尝试加载它的符号。符号将在需要的时候被加载。
#	符号文件和可执行文件的时间戳或者校验和有一些不匹配。
T	时间戳丢失、不能访问或者等于0。
C	校验和丢失、不可访问或者等于0。
DIA	符号文件通过调试接口访问(Debug Interface Access (DIA))被加载。
Export	没有找到实际的符号文件，所以符号信息是从二进制文件的导出表中获得的。
M	符号文件和可执行文件得时间戳或校验和有些不匹配。但是，因为符号选项的原因符号文件仍然被加载了。
PERF	该二进制文件包含性能优化后的代码。标准的地址计算方法可能产生不正确的结果。
Stripped	调试信息已经从映像文件中剥离出来了。
PDB	符号是.pdb格式的。
COFF	符号是通用对象文件格式(common object file format (COFF))的。

 

hgy413记于2012.5.9日晚.