一、windbg查看内存命令:
当我们在调试器中分析问题时, 经常需要查看不同内存块的内容以分析产生的原因, 并且在随后验证所做出的假设是否正确. 由于各个对象的状态都是保存在内存中的, 因此内存的内容也就相当于对象的状态.
d命令最常见的格式就是根据指定的类型信息来显示存储在某地址中的数据. 调试器并不会去猜测这个地址上存储的是什么数据, 因为在大多数情况下猜测都是错误的. 所以需要用户显式地制定按照何种格式来解析数据. 命令格式如下:
语法:d [type][address range] //d* 命令显示给定范围内存的内容
d, da, db, dc, dd, dD, df, dp, dq, du, dw, dW, dyb, dyd (Display Memory)
如果省略掉Range ,命令将会从上一条内存查看命令结束的位置开始。这使得可以连续的进行内存查看。
1.da:ASCII 字符每行最多48个字符。显示一直继续直到遇到第一个null字节或者到达range 值指定的所有字符都已经显示。所有不可打印字符,如回车和换行都被显示为点号(.)。
2.db:字节值和ASCII字符每个显示行都包含该行第一个字节的地址,后面跟16进制字节值。这些字节值后面会紧跟它们对应的ASCII值。第8和第9个16进制值之间会用连字号(-)分隔。所有不可打印字符,如回车和换行都被显示为点号(.)。
3.dc:双字值(4字节)和ASCII字符。每个显示行都会显示行中第一个数据的地址,并且每行最多显示8个16进制值以及它们对应的ASCII字符。默认的显示数量为32个DWORD(128字节)。
4.dd:双字值(4字节) 默认的显示数量为32个DWORD(128字节)。
示例:
[cpp]
- 0:000> da 0027eb3c
- 0027eb3c "Tencent Technology(Shenzhen) Com"
- 0027eb5c "pany Limited"
- 0:000> ea 0027eb3c "Tencent Technology(Shenzhen) Company Limited1"
- 0:000> da 0027eb3c
- 0027eb3c "Tencent Technology(Shenzhen) Com"
- 0027eb5c "pany Limited1"
二、在内存中搜索某个值: 命令 s
命令s(表示搜索search), 是一个非常有用的命令, 可以用来在调试目标内找出已知的值.
这个命令的参数包括素要搜索的类型和值.
s –d 0012ff40 L1024 c0000005
其中-d代表双字DWORD, 是搜索的类型. 其他类型例举如下:
- b – Byte
- w – WORD
- d – DWORD
- q – QWORD
- a – ASCII字符串
- u – Unicode字符串
三、查看内存的每个位置上都包含着什么
在调试时, 对象和栈都包含了大量的指针, 我们无法很快地猜测出他们所表示的数据. 虽然我们可以很容易地将内核空间的地址与用户态空间的地址分开, 但要把一个表示栈的地址和一个表示堆的地址区分开却不容易. 我们可以使用一个很有用的扩展命令!address <your address>来解决这个问题.
该命令的参数为一个地址, 如果没有指定地址参数, 那么这个扩展命令将搜索并且枚举所有的内存区域并给出详细的信息.
这个学习起来比较简单:我们直接使用!address -?就可以找到它的使用说明:
-summary 仅显示摘要信息。