NetRoc

http://www.DbgTech.net

1. 引子

Debugging Tools for Windows是微软发布的一套用于软件调试的工具包(后面如果没有指明，那么我会使用WinDbg来作为这一套调试工具的简称)。我第一次接触是在三年前的一个内核驱动项目，由于进行了IDT中键盘鼠标中断的Hook，使用Softice调试时造成会造成影响，只得使用WinDbg通过串口进行双机调试。自此之后这个Windows平台下最为强大的调试工具一直是开发过程中的必备。这里我毫不掩饰的说"最强"，可能很多通过逆向工作而接触调试的朋友不会认同，但是我相信随着对WinDbg了解的加深，以及对这套工具在软件开发中应用的了解，他们也会和我有一样的观点。

一直以来，软件调试技术在软件开发者中都没有得到足够的普及和重视，互联网上能找到的系统描述的资料也较少。随着国内软件行业整体的发展和进步，这些技术慢慢开始得到推广。2008年出版的有关调试的数据比以往都要多。我有幸拜读了Raymond的《软件调试》，以及熊力的《Windows用户态程序高效排错》，获益良多。 这几年的工作中也积累了一些关于Windows调试工具的知识，希望能够将这些东西进行一些分享。因此，利用几个月空闲时间翻译了WinDbg文档中上半部调试器配置、使用和命令介绍的内容，同时准备写一些关于WinDbg调试工具的初级文章。希望能够为对调试技术感兴趣而又苦于没有资料的朋友提供一些帮助。

特别感谢我的前同事小喂。虽然他第一条串口线还是我焊的，但是他对于WinDbg的使用和了解程度很快就超过了我。在相当长时间的共事和讨论中，让我学到了很多。

1. Windows调试工具的简介和组成

WinDbg是专门为Windows NT系列操作系统设计的调试器，最早是作为Windows NT 3.1的工具发布的。其后也一直跟随NT操作系统的发展而不断发展完善。如果用一句话来概括，可以说WinDbg是为了软件开发而存在的调试工具。软件包中的调试器和小工具的各种功能都是为了配合软件的开发而设计的，并且覆盖到了Windows平台下各种不同类型项目的调试(传统的SDK或MFC应用程序、.NET平台应用、COM应用、软硬件驱动程序等等)。

Windows调试工具包中的调试器包括WinDbg、KD、CDB和NTSD。其中， KD用于内核调试；CDB和NTSD用于用户态调试，在功能和使用上几乎完全一致；WinDbg是内核调试器和用户态调试器的综合体，由于功能完善并且具有图形界面，所以是最常用的工具。它们能够在x86、Itanium和x64机器上的所有NT平台操作系统中运行。

另外，工具包中还有一些小工具，下面是常用的几个：

• KDbgCtrl：用于控制和配置内核调试的一些参数。例如是否只有当发生异常时才会启用内核调试、设置DbgPrint缓冲区大小、如何处理用户模式异常等等。
• ADPlus：这是一个VB脚本，可以为一个或多个进程自动创建内存dump。
• SymStore：用于创建符号存储。当需要创建自己的符号存储时就要用到它了。
• SymProxy：用于在网络中创建单独的HTTP符号服务器，以供所有调试器使用。该工具特别适合企业级应用的环境，可以将多个符号存储通过单一的接入点提供使用。
• DbgSrv、KdSrv、Remote.exe：用于远程调试。
• GFlags：用于编辑Global Flags。
• UMDH：用于对用户模式堆分配的情况进行转储和分析。
• USBView：这是WinDbg 6.10.3版本才加入到软件包中的工具，可以查看当前连接到系统中的USB设备信息。

另外，Application Verifier虽然没有包含在软件包中，但是也是一个非常强大的工具。可以对程序运行时的很多状态进行监控，以发现一些普通调试难以找到的错误。下面是Application Verifier配置界面的一个截图：

Application Verifier可以在这个页面下载：http://go.microsoft.com/fwlink/?linkid=108353

1. Windows调试器和其他熟知的调试器比较

可能很多已经习惯使用SoftICE、OllyDbg、IDE调试器的朋友会提出这样的疑问：在这么多调试器中，为什么要选择WinDbg？它究竟有什么特点？

设想一下下面几个场景：

• 公司的软件针对企业级用户，该客户在地球另一半的美国。有一天客户抱怨了一个BUG，但是从抓取的dump又没办法看出个所以然，想进行动态调试查找原因。公司预算有限，不能让你过去出差顺便旅游、对方公司有防火墙，不允许外部连接，等等等等。。。怎么办？
• 项目规模很大，涉及到的模块多，版本也多，并且是由不同部门开发的。这些部门可能遍布五湖四海。如何在调试其中某个模块时，能够快速获得它的符号和源文件，而不用每次都从一大堆不同版本的文件中辛苦找寻？调试到某个阶段，突然发现这不是自己的模块出现问题，如何快速知道这个问题应该找谁解决？项目某些重要模块有保密需要，如何控制调试人员访问符号和源文件的权限？
• 驱动程序怎么才能源码调试？SoftICE不支持新系统，我要在Vista上调试怎么办？
• 软件中包含一个Windows服务组件，但是每次还没有登陆到桌面之前就崩溃了，怎么进行动态调试？
• 我想调试Explorer，调试IE，调试CSRSS，调试……，但是调试器一附加上去，系统就会出问题。怎么办？
• 公司发布的软件，有用户反馈和XXX安全软件冲突老是造成系统崩溃，但是搭建环境之后却又没有办法重现；对方是个普通用户，鼠标都抓得不太稳。用户很火大，闹着要抓个老虎到公司来找你上司做俯卧撑，后果很严重，怎么办？

在现实环境中，有很多复杂的调试场景，我们需要专业级的调试器来解决这些问题。而WinDbg恰恰提供了这种商业软件环境下的专业级软件调试功能，它和其他很多我们熟知的调试器的区别也在于此。

我们将WinDbg和其他调试器分作内核调试器和用户态调试器两类来进行比较。

内核调试方面：

由于SoftICE已经停止更新，WinDbg可以说是现在Windows平台上唯一好用的进行内核调试的工具，并且随着新版本的不断推出，不断地添加对新版操作系统的支持以及完善功能。强大的符号支持，方便的源码调试，使得内核级调试能够事半功倍。

用户态调试方面：

由于WinDbg功能相当复杂，有很多方面并不能一一比较，例如非侵入式调试、通过WinDbg控制CDB和NTSD来调试系统服务、创建和分析Dump文件等等。

总体来说，WinDbg更适合作为软件项目开发和维护过程中的调试工具使用，而OllyDbg更适合逆向工程。

1. 何时使用Windows调试工具

 

根据我个人对WinDbg的使用经验来说，它更适合作为开发维护的辅助工具来使用。

如果要进行用户态的逆向工程，推荐使用OllyDbg、IDA这些拥有强大汇编程序分析能力的工具。

WinDbg更适用于以下这些场合：

• 商业软件的Debug和客户支持

 

• 内核驱动的调试，以及对驱动进行逆向工程时进行动态调试
• 研究Windows本身的内核或者软件
• 疑难BUG的调试，如死锁、COM调用、资源泄露、堆栈或者堆溢出
• 以性能优化为目的的调试
• 对调试目标基本不造成影响的非侵入式调试

由于blog的形式查阅帮助文档不便，所以还是转移到了专门的空间中，做成了在线Help的形式。目前翻译的文档由于需要修复链接，以及更新新版WinDbg文档中的内容，所以还在陆续整理中。
另外还挂了一个论坛和另一个blog上去，刚刚开始做，所以各方面都还很不完善，正在努力中:)
http://www.dbgtech.net/

     摘要: cc682/NetRoc http://netroc682.spaces.live.com/ !evlog !evlog 扩展命令用于显示、修改或者备份事件日志(event log)。 语法 !evlog addsource [-d] [-s Source] [-t Type] [-f MsgFil...  阅读全文

cc682/NetRoc

http://netroc682.spaces.live.com/

用户模式扩展命令

本小节中的参考用于描述主要在用户模式调试时使用的扩展命令。

调试器会自动加载这些扩展命令的适当版本。如果不是自己已经加载了一个不同的版本，那么就不需要关心所使用的DLL版本。查看使用调试器扩展命令获得默认模块搜索顺序的说明。查看加载调试器扩展DLL获得关于加载扩展模块的说明。

每个扩展命令的参考部分都列出了导出该命令的DLL。可以用下面的规则来判断扩展DLL是从什么地方加载的：

• 目标程序运行在Windows NT 4.0发行版上，使用的是nt4fre\Ntsdexts.dll。
• 目标程序运行在Windows NT 4.0 checked版上，使用nt4chk\Ntsdexts.dll。
• 目标程序运行在Windows 2000 发行版商，使用w2kfre\Ntsdexts.dll。
• 目标程序运行于Windows 2000 checked版本上，使用w2kchk\Ntsdexts.dll。
• 目标程序运行于Windows XP和之后版本中时，使用 winxp\Ntsdexts.dll。

另外，和操作系统不相关的那些用户模式扩展放在winext\Uext.dll中。

!avrf

!avrf扩展用于控制Application Verifier的设置，并且显示由Application Verifier产生的各种输出。

语法

!avrf 
!avrf -a Address 
!avrf -cs { Length | -a Address } 
!avrf -hp { Length | -a Address } 
!avrf -vs { Length | -a Address } 
!avrf -dlls [ Length ] 
!avrf -ex [ Length ] 
!avrf -cnt 
!avrf -trm 
!avrf -threads [ThreadID] 
!avrf -trace TraceIndex 
!avrf -brk [BreakEventType] 
!avrf -flt 
!avrf -flt EventType Probability 
!avrf -flt break EventType 
!avrf -flt stacks Length 
!avrf -trg [ Start End | dll Module | all ] 
!avrf -skp [ Start End | dll Module | all | Time ] 

参数

-a Address

指定一个地址。会显示包含这个地址的内存分配记录、以这个地址为开始的内存释放操作记录。如果该选项前面没有 –cs、 -hp或者 –vs，那么会搜索light heap。

-cs

显示临界区(critical section)的删除日志。详细信息查看Application Verifier 文档中的"Critical Section Delete Logs"。

-hp

显示堆操作日志。详细信息查看Application Verifier 文档中的"Heap Operation Logs"。

-vs

显示虚拟地址空间(virtual space)操作日志。详细信息，查看Application Verifier 文档中的"Virtual Space Operation Logs"。

-dlls

显示DLL的加载/卸载日志。详细信息查看Application Verifier 文档中的"DLL Load/Unload Logs"。

-ex

显示异常日志。详细信息查看Application Verifier 文档中的"Exception Logs"。

Length

指定要显示的记录数量。如果使用了-dlls 或者-ex 选项，则可以省略Length来显示所有的DLL 加载/卸载操作或者所有异常记录。

-cnt

显示全局计数器(global counter)的清单。

-trm

显示所有终止和挂起线程的日志。

-threads

显示目标进程中线程的信息。对于子线程，还会显示堆栈大小和由父线程指定的CreateThread 标志。

ThreadID

指定要显示的线程ID。省略时显示所有线程。

-trace TraceIndex

显示指定的TraceIndex 的调用堆栈。一些结构用到了这个16位索引来标识调用堆栈。这个索引指向调用堆栈数据库(stack trace database)中的位置。如果正在分析这样的结构，那么这个选项非常有用。

-brk

表明这是一个break-event命令。不带参数适用 !avrf -brk 时，会显示break event设置。可以在 文档的 "Requesting Breaks on Certain Events" 中查看示例。

BreakEventType

指定break event 的type number 。查看Application Verifier 文档的"Requesting Breaks on Certain Events"获得可用type的列表。

-flt

表示这是一个fault-injection 命令。不带参数使用!avrf –flt时，显示当前的fault injection 设置。查看Application Verifier 文档中的"Choosing Which Events to Fault"获得示例。

EventType

指定event的type number。查看Application Verifier 文档中的"Choosing Which Events to Fault"获得可能的type的列表。

Probability

指定该event将会失败的频率。可以是从0到100(0x64)之间的任意整数。

break

让每次该fault 被inject时，Application Verifier 都中断到调试器中。这种中断的示例，查看Application Verifier 文档中的"Choosing Which Events to Fault"。

stacks

显示最近一次fault-injected 操作的调用堆栈。查看Application Verifier 文档的"Choosing Which Events to Fault"获得示例。

-trg

表明这是一个target range 命令。 不带参属使用 –trg时，显示当前的target range。详细信息查看Application Verifier 文档中的"Choosing Where to Fault"。

-skp

表示这是一个exclusion range 命令。不带参数使用-trg时，显示当前的target range。详细信息查看Application Verifier 文档中的"Choosing Where to Fault"。

Start

指定target range 或者exclusion range 的开始地址。

End

指定target range 或者exclusion range 的结束地址。

Module

指定要targeted 或者excluded 的模块名。Module是完整的模块名，包括.exe 或.dll 扩展名。不能含有路径信息。

all

使得所有的target range或者exclusion range重置。

Time

恢复执行后的Time毫秒内消除任何fault。

DLL

 

注释

不带参数使用!avrf 扩展时，会显示当前的Application Verifier选项。如果已经启用了Full page heap 或者Fast fill heap选项，那么还会显示active page heap的信息。查看Application Verifier 文档中的 "Heap Operation Logs"获得示例。

如果发生了Application Verifier Stop，不带参数的!avrf 扩展会显示停止的类型以及原因。查看Application Verifier 文档中的"Debugging Application Verifier Stops" 获得示例。

如果没有ntdll.dll 和verifier.dll 的符号，那么!avrf 扩展会产生错误信息。关于如何定位这种问题的信息，查看Application Verifier 文档中的"Setting Up a Debugger for Application Verifier"。

附加信息

关于如何下载和安装Application Verifier ，以及它的文档的信息，查看Application Verifier。

!critsec

!critsec 扩展命令显示某个临界区(critical section)。

语法

!critsec Address 

参数

Address

指定临界区的16进制地址。

DLL

注释

如果不知道该临界区的地址，可以使用!ntsdexts.locks 扩展。它会显示由调用RtlInitializeCriticalSection 来初始化的所有临界区。

下面是示例：

0:000> !critsec 3a8c0e9c

CritSec +3a8c0e9c at 3A8C0E9C
LockCount          1
RecursionCount     1
OwningThread       99
EntryCount         472
ContentionCount    1
*** Locked

附加信息

关于其他可以显示临界区信息的命令，查看显示临界区。关于临界区的信息，查看Microsoft Windows SDK文档、Windows Driver Kit (WDK) 文档，以及Mark Russinovich 和David Solomon 编写的Microsoft Windows Internals。

!dp (!ntsdexts.dp)

Ntsdexts.dll中的!dp 扩展命令显示一个CSR进程。

不要将该命令和dp (Display Memory) 命令或者 !kdext*.dp扩展命令混淆。

语法

!dp [v] [ PID | CSR-Process ]

参数

v

详细模式。显示中包含结构和线程列表。

PID

指定CSR进程的进程ID。

CSR-Process

指定CSR进程的16进制地址。

DLL

注释

该命令会显示进程地址、进程ID、序号(sequence number)、标志(flags)和引用计数。如果选择了详细模式，还会显示更多细节以及每个进程的线程信息。

如果没有指定进程，则会显示所有进程。

参见

!dt

!dphdump

!dphdump 扩展命令显示debug page heap。

语法

!dphdump Address 

参数

Address

指定堆的基地址或者堆句柄。

DLL

注释

如果在Windows 2000(Service Pack 1或之后)、Windows XP或之后版本Windows中查看page heap，应该使用!heap 扩展命令。

参见

!dphfind, !dphflags, !dphhogs

!dphfind

!dphfind 扩展命令查找包含指定地址的debug page heap。

语法

!dphfind Address 

参数

Address

指定debug page heap必须包含的16进制地址。

DLL

注释

Address一般是应用程序尝试访问从debug page heap中分配的内存时出错的地址。

如果在Windows 2000(Service Pack 1或之后)、Windows XP或之后版本Windows中查看page heap，应该使用!heap 扩展命令。

参见

!dphdump, !dphflags, !dphhogs

!dphflags

!dphflags 扩展命令显示或设置global page heap flags。

语法

!dphflags [FLAGS] 

参数

FLAGS

可以是下面这些位的任意组合：

Bit 0 (0x1)

使得调试器启用page heap。(99%的情况下都会希望设置这一位。如果为0，则使用标准堆。)

Bit 1 (0x2)

使得调试器搜集调用堆栈。(一般只在checked build上面才会设置。)

Bit 2 (0x4)

让调试器最小化对内存的影响。

Bit 3 (0x8)

指定最小化(minimization)方法。如果设置了这一位，最小化是随机进行的。如果为0，则基于大小范围(size range)进行最小化。(如果没有设置bit 2(0x4)，则这个设置被忽略。)

Bit 4 (0x10)

让调试器捕获反向溢出(backward overrun)。

Bits 15 to 8

指定可用内存的百分比(相对于总内存)，低于可以从标准堆中进行分配的大小。仅当设置了bit 2(0x4)时起效。

Bits 31 to 16

指定在page heap中分配的机率。只有当bit 2(0x4)和bit 3(0x8)设置时起效。需要指定两个大小：小一点的位于bit 31到bit 24，大一点的在bit 23到bit 16。大小处于这两个值之间的内存分配将从page heap中分配。

DLL

注释

如果在Windows 2000(Service Pack 1或之后)、Windows XP或之后版本Windows中查看page heap，应该使用!heap 扩展命令。

这里有一些示例。下面的命令在free build上启用调用堆栈的搜集。(默认情况下不会)：

!dphflags 0x03

下面的命令将不可访问的页面放到分配(allocation)的开始位置。并且启用调用堆栈的跟踪：

!dphflags 0x13

下面的命令使得有48%可能性从page heap中分配。同样，如果可用内存低于48%，则所有分配都会从标准堆中进行：

!dphflags 0x3000300F

参见

!dphdump, !dphfind, !dphhogs

!dphhogs

!dphhogs 扩展用于显示debug page heap hogs。

语法

!dphhogs Address [count] [reset] 

参数

Address

指定堆的基地址或者堆句柄。

count

列表按照count来排序(而不是按字节)。

reset

所有的allocation counts重置为0。

DLL

注释

这个命令只能用于运行在x86处理器上的checked版本Windows NT 4.0。

如果在Windows 2000(Service Pack 1或之后)、Windows XP或之后版本Windows中查看page heap，应该使用!heap 扩展命令。

参见

!dphdump, !dphfind, !dphflags

!dreg

!dreg 扩展命令显示注册表信息。

语法

!dreg [-d|-w] KeyPath[!Value] 
!dreg 

参数

-d

二进制数据显示为DWORD。

-w

二进制数据显示为WORD。

KeyPath

指定注册表路径。可以使用下面这些缩写：

hklm

HKEY_LOCAL_MACHINE

hkcu

HKEY_CURRENT_USER

hkcr

HKEY_CLASSES_ROOT

hku

HKEY_USERS

如果没有使用缩写，则假定使用HKEY_LOCAL_MACHINE。

Value

指定要显示的注册表值。星号(*)可以代表任何值。如果省略Value，则显示所有子键。

DLL

注释

!dreg 扩展用于在用户模式调试时显示注册表。

在远程调试时由于可以查看远程机器的注册表，所以非常有用。从内核调试器控制用户模式调试器时也很有用，因为目标机冻结的时候是不能运行标准的注册表编辑器的。(这时也可以使用.sleep 命令。查看从内核调试器控制用户模式调试器获得详细信息。)

由于信息是按照容易阅读的格式显示的，所以本地调试时也有用。

如果在内核模式调试时使用!dreg结果显示的是主控机上面的，而不是目标机上的。要显示目标机上的原始注册表信息，可以使用!reg扩展命令来替代。.

这里有一些示例。下面这个显示指定的注册表键下面所有子键：

!dreg hkcu\Software\Microsoft

下面显示指定的注册表键下面所有值：

!dreg System\CurrentControlSet\Services\Tcpip!*

这条命令显示指定的注册表键下面的Start键值：

!dreg System\CurrentControlSet\Services\Tcpip!Start

不带参数使用!dreg 会在调试器命令窗口中显示该命令的简单帮助。

附加信息

关于注册表的信息，查看Windows Driver Kit (WDK) 文档，以及Mark Russinovich 和David Solomon 编写的Microsoft Windows Internals。

!dt

!dt 扩展命令显示某个CSR线程的信息。

该命令不能和dt (Display Type)命令混淆。

语法

!dt [v] CSR-Thread 

参数

v

详细输出。

CSR-Thread

指定CSR线程的16进制地址。

DLL

注释

该扩展命令显示CSR线程关联的线程、进程、client ID、标志和引用计数。如果使用了详细模式，输出中还包含list pointer、线程句柄和等待块(wait block)。

参见

!dp (!ntsdexts.dp)

     摘要: cc682/NetRoc http://netroc682.spaces.live.com/ !vm !vm扩展命令显示目标系统中虚拟内存使用统计的摘要信息。 语法 Windows NT 4.0的语法 !vm  Windows 2000和之后的语法 !vm [Flags]  参数 Flags (Windows ...  阅读全文      摘要: cc682/NetRoc http://netroc682.spaces.live.com/ !thread !thread 扩展显示目标系统中线程包括ETHREAD块在内的摘要信息。该命令只能在内核模式调试下使用。 这个扩展命令和.thread (Set Register Context)命令不同。 语法 Windows NT 4.0 和Windows ...  阅读全文

     摘要: cc682/NetRoc http://netroc682.spaces.live.com/ !searchpte !searchpte 在物理内存中搜索指定的页面帧序号(PFN)。 语法 !searchpte PFN !searchpte -?  参数 PFN 以16进制格式指定PFN。 -? 在调试器命令窗口中显示该...  阅读全文

cc682/NetRoc

http://netroc682.spaces.live.com/

!qlocks

!qlocks 扩展用于显示所有排队的自旋锁(queued spin lock)的状态。

语法

!qlocks 

DLL

 

注释

该命令仅在多处理器系统上有用。

下面是一个示例：

0: kd> !qlocks
Key: O = Owner, 1-n = Wait order, blank = not owned/waiting, C = Corrupt

                       Processor Number
    Lock Name         0  1  2  3

KE   - Dispatcher               
KE   - Unused Spare             
MM   - PFN                      
MM   - System Space             
CC   - Vacb                     
CC   - Master                   
EX   - NonPagedPool             
IO   - Cancel                   
EX   - WorkQueue                
IO   - Vpb                      
IO   - Database                 
IO   - Completion               
NTFS - Struct                   
AFD  - WorkQueue                
CC   - Bcb                      
MM   - MM NonPagedPool             

附加信息

关于自旋锁的信息，查看Windows Driver Kit (WDK) 文档，以及Mark Russinovich 和David Solomon 编写的Microsoft Windows Internals。

!ready

!ready 扩展命令显示系统中READY状态的所有线程的摘要信息。

语法

!ready [Flags] 

参数

Flags

指定显示的级别。Flags 可以是下面这些位的任意组合。如果Flags 为0，则只显示很少的信息。默认值是0x6。

Bit 1 (0x2)

使得显示中包括线程的等待状态。

Bit 2 (0x4)

如果包含这个位，但是不包含Bit 1(0x2)，则不会起作用。如果和Bit 1一起，则显示线程的调用堆栈。

Bit 3 (0x8)

(Windows XP和之后) 使得显示出来的每个函数包含返回地址、堆栈指针、以及bsp寄存器(Itanium系统)的值。不显示函数的参数。

Bit 4 (0x10)

(Windows XP和之后) 显示的每个函数只包括它的返回地址，不显示参数和堆栈指针。

DLL

注释

除了只显示就绪的线程之外，该命令的输出和!thread类似，并且输出按照优先权从高到低排序。

附加信息

关于线程调度和READY状态的信息，查看Mark Russinovich 和David Solomon 编写的Microsoft Windows Internals。

!reg

!reg 扩展命令用于显示和搜索注册表数据。

语法

!reg kcb Address 
!reg knode Address 
!reg kbody Address 
!reg kvalue Address 
!reg valuelist HiveAddress KeyNodeAddress 
!reg subkeylist HiveAddress KeyNodeAddress 
!reg cellindex HiveAddress Index 
!reg baseblock HiveAddress 
!reg seccache HiveAddress 
!reg hashindex HashKey
!reg openkeys {HiveAddress|0} 
!reg findkcb Path 
!reg hivelist 
!reg viewlist HiveAddress 
!reg freebins HiveAddress 
!reg freecells BinAddress 
!reg dirtyvector HiveAddress 
!reg freehints HiveAddress 
!reg dumppool [s|r] 

参数

kcb Address

显示某个registry key control block。Address 指定key control block的地址。

knode Address

显示一个registry key node structure。 Address 指定这个key node的地址。

kbody Address

显示一个registry key body (KBODY) 结构。Address 指定这个key body的地址。(Registry key body是和句柄关联的实际对象。)

kvalue Address

显示某个registry key value结构。Address 指定值的地址。

valuelist HiveAddress KeyNodeAddress

显示指定的key node中value的列表。HiveAddress 指定hive的地址。KeyNodeAddress 指定key node的地址。

subkeylist HiveAddress KeyNodeAddress

显示指定的key node的subkey列表。HiveAddress 指定hive的地址。KeyNodeAddress 指定key node的地址。

cellindex HiveAddress Index

显示hive中某个cell的虚拟地址。HiveAddress 指定hive的地址。Index指定cell的序号。

baseblock HiveAddress

显示某个hive的base block (也称为hive header)。HiveAddress指定hive的地址。

seccache HiveAddress

显示某个hive的security cache。HiveAddress指定hive的地址。

hashindex HashKey

计算某个hash key的hash index entry。HashKey用于指定这个key。

openkeys { HiveAddress | 0 }

显示某个hive中所有打开的key。HiveAddress 指定hive的地址。如果使用0，则显示整个registry hash table；该table包含注册表中所有已打开的key。

findkcb Path

显示某个注册表路径对应的registry key control block。Path 指定完整的key路径，这个路径必须在hash table中存在。

hivelist

显示系统中所有hive的列表，以及每个hive相关的详细信息。

viewlist HiveAddress

显示某个hive的所有pinned and mapped view，以及每个view的详细信息。HiveAddress 指定hive的地址。

freebins HiveAddress

显示某个hive的所有free bin，以及每个bin的详细信息。HiveAddress 用于指定hive的地址。

freecells BinAddress

遍历一个bin并且显示它里面所有的cell。BinAddress指定bin的地址。

dirtyvector HiveAddress

显示某个hive的dirty vector。HiveAddress指定hive的地址。

freehints HiveAddress

显示空闲的hint。HiveAddress指定hive的地址。

dumppool [ s | r ]

显示注册表分配的分页池(registry-allocated paged pool)。如果指定了s，则注册表页面列表(registry page list)会保存到一个临时文件中。如果指定r ，则从先前保存的临时文件恢复注册表页面列表。

DLL

注释

使用!dreg扩展命令来显示格式化后的注册表键信息。

下面是一些示例：

kd> !reg hivelist

-------------------------------------------------------------------------------------------------------------
| HiveAddr |Stable Length|Stable Map|Volatile Length|Volatile Map|MappedViews|PinnedViews|U(Cnt)| BaseBlock | FileName 
-------------------------------------------------------------------------------------------------------------
| e16e7428 |       2000  | e16e7484 |          0    |  00000000  |        1  |        0  |     0| e101f000  | \Microsoft\Windows\UsrClass.dat
| e1705a78 |      77000  | e1705ad4 |       1000    |  e1705bb0  |       30  |        0  |     0| e101c000  | ttings\Administrator\ntuser.dat
| e13d4b88 |     814000  | e146a000 |       1000    |  e13d4cc0  |      255  |        0  |     0| e1460000  | emRoot\System32\Config\SOFTWARE
| e13ad008 |      23000  | e13ad064 |       1000    |  e13ad140  |        9  |        0  |     0| e145e000  | temRoot\System32\Config\DEFAULT
| e13b3b88 |       a000  | e13b3be4 |       1000    |  e13b3cc0  |        3  |        0  |     0| e145d000  | emRoot\System32\Config\SECURITY
| e142d008 |       5000  | e142d064 |          0    |  00000000  |        2  |        0  |     0| e145f000  | <UNKNOWN>
| e11e3628 |       4000  | e11e3684 |       3000    |  e11e3760  |        0  |        0  |     0| e11e4000  | <NONAME>
| e10168a8 |     1c1000  | e1016904 |      15000    |  e10169e0  |       66  |        0  |     0| e1017000  | SYSTEM
| e10072c8 |       1000  | e1007324 |          0    |  00000000  |        0  |        0  |     0| e1010000  | <NONAME>
-------------------------------------------------------------------------------------------------------------

kd> !reg hashindex e16e7428

CmpCacheTable = e100a000

Hash Index[e16e7428] : 5ac
Hash Entry[e16e7428] : e100b6b0

kd> !reg openkeys e16e7428

Index 68:  7bab7683 kcb=e13314f8 cell=00000740 f=00200004 \REGISTRY\USER\S-1-5-21-1715567821-413027322-527237240-500_Classes\CLSID
Index 7a1:  48a30288 kcb=e13a3738 cell=00000020 f=002c0004 \REGISTRY\USER\S-1-5-21-1715567821-413027322-527237240-500_Classes

附加信息

关于注册表和它的组件的信息，查看Mark Russinovich 和David Solomon 编写的Microsoft Windows Internals。

!regkcb

!regkcb 扩展显示registry key control block。

语法

Windows NT 4.0的语法

!regkcb 

Windows 2000的语法

!regkcb Address 

参数

Address

指定key control block的地址。

DLL

注释

在Windows NT 4.0中，会显示所有未交付的registry key control blocks。在Windows 2000中，会显示某个指定的registry key control block。

Windows XP和之后版本Windows中，应该使用!reg 扩展命令来替代。

每个注册表键都有一个包含它的许可权(permission)这样的属性的control block。

下面是Windows NT 4.0中的命令示例：

kd> !regkcb
1 -  \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM
1 -  \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM\MultifunctionAdapter\0
1 -  \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\SYSTEM\MultifunctionAdapter\1
1 -  \REGISTRY\Machine\System\ControlSet001\Control\Class
1 -  \REGISTRY\Machine\System\ControlSet001\Control\ServiceGroupOrder
1 -  \REGISTRY\Machine\System\ControlSet001\Control\ProductOptions
1 -  \REGISTRY\Machine\System\ControlSet001\Control\PriorityControl
3 -  \REGISTRY\Machine\System\ControlSet001\ENUM
....

附加信息

关于注册表和它的组件的信息，查看Mark Russinovich 和David Solomon编写的 Microsoft Windows Internals。

!rellist

!rellist 扩展命令显示Plug and Play relation list。

语法

!rellist Address [Flags] 

参数

Address

指定relation list 的地址。

Flags

指定显示中要包含哪些附加信息。可以是下面这些位的任意组合(默认值为0)：

Bit 1 (0x2)

显示中包含CM_RESOURCE_LIST。如果可能的话也还会包含boot resources list。

Bit 2 (0x4)

显示中包含resource requirements list (IO_RESOURCE_LIST)。

Bit 3 (0x8)

显示中包含translated CM_RESOURCE_LIST。

DLL

附加信息

查看 Plug and Play 调试获得该扩展命令的应用。关于这些列表结构的信息，查看Windows Driver Kit (WDK) 文档。

!running

!running 扩展命令显示目标机上所有处理器上正在运行的线程的列表。

语法

!running [-i] [-t] 

参数

-i

显示中也包含空闲处理器(idle processor)。

-t

显示每个处理器上的调用堆栈。

DLL