WinDbg(蓝屏Dump文件分析工具)

WinDbg是由微软官方推出的一款免费的蓝屏Dump文件分析工具，支持多种调试任务，如用户态调试、内核态调试、转储文件调试和远程调试。WinDbg具有很好的灵活性和可扩展性，提供了130多条标准命令，140多条元命令和难以计数的扩展命令。它可以通过dmp文件轻松的定位到问题根源，可用于分析蓝屏、程序崩溃（IE崩溃）原因，是我们日常工作中必不可少的一个有力工具，学会使用它，将有效提升我们的问题解决效率和准确率。

WinDbg的安装与配置：

1、下载软件压缩包文件，点击Windbgx86_v6.12.2.msi文件根据提示进行安装即可（安装过程与一般程序类似）

2、打开WinDbg，首先我们需要设置symbol文件(这些文件通常包含全局变量，局部变量等信息。在调试不同的系统的时候，用到的symbol是不同的)，选择file—Symbol File Path（或者按【Ctrl+S】弹出symbol设置窗）添加symbol文件地址：SRV*C:\Symbols*http://msdl.microsoft.com/download/symbols，点击确定即可。
注意：符号表是WinDbg关键的“数据库”，如果没有它，WinDbg基本上就是个废物，所以使用WinDbg设置符号表，是必须要走的一步。

3、在正确设置了symbol路径后，我们就可以打开dump文件时行分析了，view菜单下面有详细的列表，可以调出对应的窗口，默认的打开窗口是command窗口。
基本调试命令：
r 可以显示系统崩溃时的寄存器，和最后的命令状态。
dd 显示当前内存地址，dd 参数：显示参数处的内存。
u 可以显示反汇编的指令
！analyze -v 显示分析的详细信息。
kb 显示call stack 内容
kv.bugcheck 可以显示出错的代码

WinDbg命令：

虽然WinDbg是一个典型的GUI应用程序，但是它的大多数调试功能还是以手工输入命令的方式来工作的。其命令大致可分为三种：标准命令、元命令和扩展命令。
1、标准命令：提供适用于所有调试目标的基本调试功能。
标准命令在调试器内部实现，执行时不需要加载任何扩展模块。标准命令第一个字符不区分大小写，后面的字符可能区分大小写。共有130多条命令，分为60多个系列18个子类：(1)：控制调试目标执行，包括恢复运行的g系列命令。跟踪执行的t系列命令。单步执行的p系列命令和跟踪监视的wt命令。
(2)：观察和修改寄存器的r系列命令。
(3)：读写IO端口命令。
(4)：观察、修改和搜索内存数据的d系列、e系列和s命令。
(5)：观察栈的k系列命令。
(6)：显示进程的|（非l）命令。
(7)：显示和控制线程的~命令。
(8)：设置和维护断点的bp（软件断点），ba（硬件断点）和管理断点的bl(列出所有断点),bc,bd,be(清除，禁用和重新启用断点)命令。
(9)：评估表达式的?命令和评估C++表达式的？？命令。
(10)：用于汇编的a命令和反汇编的u命令。
(11)：显示段选择子的dg命令。
(12)：执行命令文件的$命令。
(13)：设置调试事件处理方式的sx系列命令，启用与禁止静默模式的sq命令，设置内核选项的so命令，设置符号后缀的ss命令。
(14)：显示调试器和调试目标版本的version命令。显示调试目标所在系统信息的vertarget命令。
(15)：检查符号的x命令。
(16)：控制和显示源程序的ls系列命令。
(17)：加载调试符号的ld系列命令。搜索相邻符号的ln命令。 显示模块列表的lm命令。
(18)：结束调试会话的q命令。
在命令编辑框中输入?，可以显示主要标准命令和每个命令的简单介绍。
2、元命令
元命令用于提供标准命令没有提供的常用调试命令，元命令也是内建在调试器引擎或WinDbg程序文件中。所有元命令都是以.开始，所以元命令也被称为点命令。
3、扩展命令
扩展命令用于实现针对特定目标的调试功能。与标准命令和元命令内建在Windbg程序文件中不同，扩展命令是是现在动态加载的扩展模块dll中。利用WinDbg的sdk，用户可以自己编写扩展模块和扩展命令。
执行扩展命令时应该以感叹号!开始。!在英语中为bang。因此扩展命令也被称为bang command。
执行扩展命令的完整格式为：！nameofExtentModule.nameofExtentCommand 参数
其中nameofExternModule可以省略。省略后，WinDbg会在已加载的扩展模块中搜索指定的命令。如果此模块没有加载，则将模块加载。