windbg

控制调试目标中断执行按ctrl + c 来中断程序执行 恢复执行g 不带任何参数，只是恢复调试目标的执行，直到下一次发生某个调试事件 如果不希望调试器在初始启动时停止程序的执行，在启动调试器时加 -g 如 ntsd -g a.exe 单步调试代码p stepp 的变种 pt 会一直执行指令，直到遇见 ......

目录： (1) u命令（反汇编） (2) dt命令（查看数据结构） (3) ln命令（查找就近的符号） (4) x命令（显示模块的符号） (5) k命令（显示调用栈） (6) d命令（以数据方式显示） (7) b命令（断点） (8) lm lmvm （显示模块信息） (9) .reload （重加载 ......

关键部分可以通过 ！ ntsdexts 扩展、 ！ critsec 扩展、 ！ .Cs 扩展和 dt (显示类型) 命令显示。 ！ Ntsdexts extension 显示与当前进程相关联的关键部分的列表。 如果使用了 -v 选项，将显示所有关键部分。 以下是示例： 0:000> !locks C ......

User32.dll,kernel32.dll,shell32.dll,gdi32.dll,rpcrt4.dll,comctl32.dll,advapi32.dll,version.dll等dll代表了Win32 API的基本提供者；Win32 API中的所有调用最终都转向了ntdll.dll，再由 ......

//寻找lsass的EPROCESS !process 0 0 lsass.exe //切换进程空间到lsass .process /i ffffbc02f3760080 ;g //检查当前进程 !thread -p -1 0 //刷新kd维护的用户态加载模块列表使之匹配当前进程 .reload / ......