http://netroc682.spaces.live.com/

调试器

本节包含以下内容：

工具包中的调试器

安装和设置

调试器操作

调试符号

崩溃转储文件

安全事项

调试器参考

工具包中的调试器

本文档描述4款Microsoft调试器的工作方式：

CDB 和 NTSD

KD

WinDbg

查看工具包中的完整列表以及他们的文档，参见工具列表和文档。

CDN、NTSD和WinDbg可以在Microsoft Windows 95、Windows 98、何Windows Millennium Edition上进行用户模式调试。但是，安装需要一些额外的步骤，并且功能上会有限制；查看Windows 95, 98, 和 Millennium获得更多信息。要在这些操作系统上进行内核模式调试，需要使用WDeb系列调试器(例如，wdeb386.exe)，或者Microsoft Windows System Debugger(debugger.exe)。查看Windows Millennuim DDK获得关于这些工具的更多信息。

Microsoft Visual Studio调试器也可以在所有Windows系统上进行用户模式调试。可以查看Visual Studio的文档获得关于这些调试器的详细资料。

CDB 和 NTSD

CDB和NTSD是可以用来调试用户模式程序的命令行工具。除了启动的方式之外，这两个工具基本上是一样的。

本文档将使用“CDB”来同时提及CDB和NTSD。除非专门注明，否则所有提到CDB的地方，同样适用于NTSD。只有极少数技术是只能在CDB上工作或者只在NTSD上工作的。这些不同点都会在适当的地方指明。

CDB

Microsoft控制台调试器(Microsoft Console Debugger (CDB))是基于控制台字符界面的程序，它可以对Windows用户模式的内存和结构进行低层次分析。

CDB在用于调试正在运行的或者刚刚崩溃的程序时(“live analysis”)非常强大，但是很容易配置。它可以用于研究正在运行的程序行为。在应用程序出错的情况下，CDB可以用于获得调用堆栈，或者查看有问题的参数。由于是基于字符界面，它能够很好的支持网络访问(使用远程访问服务器)。

使用CDB，可以显示和执行程序代码，设置断点，查看或者改变内存的值。CDB可以通过“反汇编”分析二进制代码并显示汇编代码，也可以直接分析源代码。

由于CDB能通过地址或者全局符号访问内存地址，你可以通过名字而不是地址来访问内存，这使得定位和调试特定的代码变的容易。也可以显示反汇编的机器码。CDB支持调试多个线程和进程。它是可扩展的，并能够读写分页和非分页内存。

如果目标应用程序本身也是控制台程序，目标和CDB将共用一个控制台。如果想和目标程序分开使用控制台，可以使用-2 command-line option选项。

NTSD

Microsoft NT Symbolic Debugger (NTSD)是CDB调试器的变种。启动的时候，NTSD会创建一个新的文本窗口，而CDB继承原有的命令行窗口，除此之外，他们没有任何区别。

和CDB一样，NTSD完全支持控制台程序和Windows程序。（命名为“控制台调试器”，是为了指明CDB是一个控制台程序，而非指目标程序必须是控制台程序。）

使用 start 命令也可分离出来新的控制台窗口，所以下面两种格式的命令会有相同效果：

start cdb parameters 
ntsd parameters 

System32 目录下的NTSD

鉴于CDB只是Windows调试工具包的一部分，而NTSD同时包含在工具包和Windows系统中。所以在Windows的system32目录下可以找到NTSD。

如果准备使用在system32目录下的NTSD，有两个重要的地方需要注意：

• 该版本NTSD不支持通过调试器的远程调试
• 该版本的NTSD可能和当前文档中描述的版本不同。

为了避免这些问题，建议只使用Windows调试工具包中的NTSD和CDB。

用内核调试器控制CDB或者NTSD

CDB和NTSD的输入输出能够被重定向，所以可以通过内核调试器进行控制(KD或者WinDbg)。

这项技术如果用在CDB上，CDB的窗口将会出现，但是不能进行输入输出。如果使用在NTSD上，则不会有控制台窗口出现。

从内核调试器控制NTSD是非常有用的，因为它是一个非常轻量级的调试器，在运行目标程序的机器上，它几乎不会增加任何额外开销。这种结合可用于调试系统进程、关机、或者系统刚刚启动之后的情况。查看使用内核调试器控制用户态调试器 获得更详细的信息。

KD

Microsoft Kernel Debugger (KD) 是一款基于字符界面的控制台程序，可以在所有NT内核操作系统上对在内核模式下的活动进行深度分析。

KD可用于调试内核模式程序和驱动程序，或者监控系统本身的行为。KD支持多处理器的调试。

一般来说，KD并不运行在被调试的机器上。内核模式调试一般需要两台机器（主控机 和 目标机）。

大多数KD的命令不能像在CDB, NTSD, 和 WinDbg中一样针对特定进程或者线程。

调试不同平台的目标机

KD可以支持调试基于x86、Itanium或者x64平台的目标机。

调试器可以自动检测目标运行的机器平台，所以不需要在KD的命令行中指定了。旧的名字(使用I386KD或者IA64KD的名字)不再使用。

WinDbg

Microsoft Windows Debugger (WinDbg) 是一款强大的基于窗口的调试工具。它可以进行用户模式 和 内核模式 调试。

WinDbg支持完全的针对Windows内核、内核模式驱动、系统服务、以及用户模式应用程序和驱动的源码级调试。

WinDbg在进行源码级调试时，使用Microsoft Visual Studio调试符号格式。它可以访问具有PDB文件的模块的所有符号和变量，以及任何通过COFF格式符号文件(例如Windows .dbg文件)暴露出来的公开的函数名。

WinDbg可以查看源代码、设置断点、查看变量(包含C++对象)、查看调用堆栈及内存。用户可以通过它的调试器命令窗口适用大量的命令。

要支持内核调试，WinDbg需要两台机器(主控机 和 目标机)。内核调试只被基于NT内核的Windows系统支持。

WinDbg同样支持各种用户模式和内核模式目标的远程调试选项。

WinDbg可以看作图形界面的CDB / NTSD 或者 KD。

工具和文档列表

Microsoft Windows调试工具包包含了许多调试器和其它工具。它们中的部分在本文档中进行了说明，在其它地方有对另外部分的说明。下面的列表简要说明了每个工具以及在什么地方能够找到和它相关的说明。

调试器

Windows调试工具包包含以下一些调试器。对它们的说明贯穿整个文档，它们将被使用各自的名称来引用，或者被统称为“调试器”：

WinDbg  (windbg.exe)

拥有图形界面的用户模式/内核模式调试器。

KD  (kd.exe)

内核模式的命令行调试器。

CDB  (cdb.exe)

用户模式的命令行调试器。

NTSD  (ntsd.exe)

用户模式的命令行调试器。CDB和NTSD实质上是一样的。在这组文档中，所有提及“CDB”的地方，同时适用于CDB和NTSD 。这两个调试器的所有不同点都会单独注明。 (查看 CDB 和 NTSD 获取更多信息。)

其他工具和公用组件

Windows调试工具包还包含以下的工具和公用组件：

Logger  (logger.exe 和 logexts.dll)

用于记录程序的函数调用和其他操作，有一个工具和一个扩展dll。在本文档中包含Logger的说明；查看Logger and LogViewer。

LogViewer  (logviewer.exe)

用于查看Logger记录下来的日志的工具。本文档中包含对LogViewer的说明。查看Logger and LogViewer。

ADPlus  (Autodump+, adplus.vbs)

基于命令行的Microsoft Visual Basic脚本。可以为一个或多个进程自动创建内存转储（memory dump）文件和包含Debug输出的log文件。ADPlus在本文档中有描述；参见 ADPlus.

DbgRpc  (dbgrpc.exe)

用于查看远程过程调用(PRC)的状态信息的工具。本文档中有对DbgRpc的说明。查看 RPC Debugging 和 Using the DbgRpc Tool.

KDbgCtrl  (Kernel Debugging Control, kdbgctrl.exe)

用于控制和配置内核调试连接的工具。本文档中有对KDbgCtrl的说明；查看Using KDbgCtrl.

SrcSrv  (srcsrv.dll)

可以在调试中用于交付源文件的源代码服务器。本文档中有对SrcSrv的说明；查看Using a Source Server.

SymSrv  (symsrv.dll)

调试器可以用来连接到符号存储(symbol store)的调试符号服务器(symbol server)。本文档中有对SymSrv的描述；查看 Using SymSrv.

SymStore  (symstore.exe)

用于创建符号存储(symbol store)的工具。SymSrv在本文档中包含说明；查看 Using SymStore.

AgeStore  (agestore.exe)

被符号服务器或源码服务器用于清理符号信息缓存(downstream store)的工具。AgeStore在本文档中没有说明。可以使用agestore /? 命令查看该工具的帮助信息。

SymProxy

用于在网络中创建单独的HTTP符号服务器，以供你的所有调试器指向的工具。使用它有一个好处是可以使用单个符号路径(symbol path)指向多个符号服务器(symbol server)(包括外部的和内部的)，并且可以处理所有的认证、通过符号缓存加快访问速度。SymProxy在本文档中没有说明；详细的可以参考这个工具目录下的symhttp.doc 文件。

SymChk  (Microsoft Symbol Checker, symchk.exe)

用于校验符号文件或从符号存储下载符号的工具。本文档中包含对SymChk的说明；查看 SymChk.

DumpChk  (Dump File Checking Utility, dumpchk.exe)

用于校验内存转储文件的工具。DumpChk在本文档中没有说明。使用dumpchk /? 命令查看该工具的帮助信息。

DbgSrv  (dbgsrv.exe)

用于远程调试的进程服务器。本文档包含对DbgSrv的说明；查看 Process Servers (User Mode).

KdSrv  (kdsrv.exe)

用于远程调试的内核调试连接服务器(KD connection server)。本文档包含对 KDSrv的说明；查看 KD Connection Servers (Kernel Mode).

DbEngPrx  (dbengprx.exe)

用于远程调试的转发器(小型代理服务器)。本文档包含 DbgSrv 的说明；查看Repeaters.

远程工具  (remote.exe)

远程调试工具，用于远程操作任何命令行程序，包括KD、CDB和NTSD。本文档包含对远程工具的说明。查看 Remote Tool 和 Remote Debugging Through Remote.exe.

GFlags  (全局标志编辑器, gflags.exe)

用于控制注册表键和其他设置的工具。GFlags在本文档中有说明。查看 GFlags.

进程终止工具  (kill.exe)

用于终止一个进程的工具。进程终止工具在本文档中有说明。查看Kill Tool.

断点工具  (breakin.exe)

用于在某个进程中制造一次用户模式中断的工具。本文档未包含Breakin.exe 说明。使用 breakin /? 命令查看它的帮助信息。

列表工具  (文件列表实用程序, list.exe)

List.exe 在本文档中没有说明，使用list /? 命令查看它的帮助信息。

TList  (任务列表查看器, tlist.exe)

用于列举所有正在运行的进程的工具。本文档中包含TList的说明；查看 TList。

RTList  (远程任务列表查看器, rtlist.exe)

通过DbgSrv进程服务器查看正在运行的进程的工具。RTList在本文档中没有说明。使用rtlist /? 命令查看该工具的帮助信息。

UMDH  (用户模式堆转储实用程序, umdh.exe)

分析堆分配的工具。UMDH在本文档中有说明；参见 UMDH。

如果你选择自定义安装Windows调试工具包，并且选择了安装SDK和它的子项目，所有用于购建调试器扩展的的库、头文件和示例程序都会被安装。

文档

"Debugging Tools for Windows"  (debugger.chm)

这是你当前正在阅读的文档。这是Windows调试工具包的核心文档。

"Debug Help Library"  (dbghelp.chm)

这个文档描述了DbgHelp API和ImageHlp API，也说明了如何建立自己的符号服务器。当你选择了自定义安装Windows调试工具包并选择了SDK和它的子项目时才会被安装。

Windows调试工具包之外的调试工具

下面一些相关工具不是Windows调试工具包的一部分：

Dr. Watson  (drwtsn32.exe)

用于自动生成Dump文件并发送错误报告到微软在线崩溃分析（Microsoft Online Crash Analysis (OCA)）的工具。Dr. Watson 在本文档中有部分说明；参见 Dr. Watson. Dr. Watson的其他特性，可以参考和drwtsn32.exe 关联的帮助文件。

Build utility  (build.exe)

用于构建调试器扩展和其他程序的编译器和链接器。构建工具和它的文档可以在Windows Driver Kit，或者早前版本的Windows DDK中找到。

BinPlace  (binplace.exe)

用于控制产品构建中生成的符号文件的工具。BinPlace和它的文档可以在Windows Driver Kit，或者早前版本的Windows DDK中找到。

Application Verifier  (AppVerif.exe 和 !avrf)

用于测试用户模式应用程序的工具。该工具由两部分组成：AppVerif.exe 实用程序和 !avrf 扩展命令。所有和调试相关的应用程序校验器都在本文档中有说明；查看Application Verifier。其他和应用程序校验器特性，可以参考和AppVerif.exe 关联的帮助文档。

Windows调试工具

法律信息

以下省略XX字

http://netroc682.spaces.live.com/

调试器操作(常规)

本节包含以下主题：

控制目标

使用断点

读取和写入内存

读写寄存器和标志

查看调用堆栈

汇编模式调试

源码模式调试

调试BIOS代码

调试多个目标

结束调试会话

控制目标

调试一个用户模式的目标程序或者内核模式的目标机时，目标可以被运行或停止。

当调试器连接到内核模式的目标时，调试器会继续让目标运行，除非使用了-b 命令行选项、目标系统停止相应(即崩溃)或目标系统因为先前的内核调试行为而处于中断状态。

当调试器启动或连接到一个用户模式目标时，会立即中断目标的执行，除非使用-g 命令行选项。更多信息，查看初始断点。

运行中的目标

当目标正在运行时，大多数调试操作都不可用。

如果要停止运行中的目标，可以输入中断(Break)命令。该命令使得调试器中断到目标中。即调试器停止目标，并获得所有控制权。应用程序可能不会立即中断下来。例如，如果所有线程当前正在执行系统代码，或者在等待操作，中断会延迟到控制返回应用程序代码时发生。

如果运行中的目标发生异常、特定事件发生、遇到断点或程序正常关闭，目标会中断到调试器。 该动作停止目标并将所有控制权交给调试器。调试器命令窗口会显示一条消息来描述这个错误、事件或断点。

停止的目标

通过下面一些方法来开始或控制目标的执行：

• 使用运行(Go)命令使得程序开始运行。
• 一次单步执行一条指令，使用单步进入(Step Into) 或单步步过( Step Over )命令。如果发生函数调用，Step Into会进入函数体重并继续开始单步执行每条指令。Step Over将函数调用当作单步。当调试器运行于汇编模式时，单步操作每次执行一条指令。当调试器运行于源码模式时，单步操作一次执行一行代码。
• 结束当前函数的执行并在返回时中断，使用执行到返回(Step Out)或 or 跟踪和监视(Trace and Watch)命令。Step Out命令继续程序执行知道当前函数结束。Trace and Watch 继续执行知道当前函数结束，并显示函数调用的摘要信息。但是，必须在函数的第一条指令使用Trace and Watch 命令。在基于Itanium的处理器上跟踪到分支(Trace to Next Branch) 运行直到遇到分支指令。
• 如果有异常发生，可以使用处理异常并运行(Go with Exception Handled)和不处理异常并运行(Go with Exception Not Handled)命令来恢复执行和控制异常状态。(关于异常的更多信息，查看控制异常和事件。)
• (仅WinDbg) 如果在反汇编窗口(Disassembly window)或 源码窗口(Source window)选中一行，然后使用 运行到光标(Run to Cursor)命令，程序会一直运行直到遇到选中那一行。
• (仅User Mode) 关闭目标程序并重新开始运行它，可以使用重新开始(Restart)命令。该命令只能用于调试器创建的进程。进程重起之后，会立即中断到调试器。
• (仅WinDbg) 使用停止调试(Stop Debugging)命令关闭目标程序并清空调试器。该命令使得可以开始调试另一个目标。

命令窗体

大多数用于开始或控制目标执行的命令都以文本命令、菜单命令、工具栏按钮和快捷键方式存在。基本的文本命令可以在CDB、KD或WinDbg中使用。(文本命令一般都支持附加的选项，例如改变程序计数器的位置或执行指定数量的指令。)可以在WinDbg中使用菜单命令、工具栏按钮和快捷键。

以如下方式使用这些命令。

命令	WinDbg按钮	WinDbg命令	WinDbg快捷键	作用
		Debug | Run to Cursor	F7 CTRL + F10	(仅WinDbg) 运行到光标位置。
		Debug | Stop Debugging	SHIFT + F5	停止所有的调试并关闭目标。
(仅CDB/KD) CTRL+C		Debug | Break	CTRL + BREAK	停止执行，调试器中断目标。
.restart (Restart Target Application)		Debug | Restart	CTRL + SHIFT + F5	(仅User mode) 重起目标程序
g (Go)		Debug | Go	F5	目标自由执行。
gc (Go from Conditional Breakpoint)				在一次条件断点之后恢复执行。
gh (Go with Exception Handled)		Debug | Go Handled Exception		和g (Go)相同，但是当前异常被当作已处理。
gn (Go with Exception Not Handled)		Debug | Go Unhandled Exception		和g (Go)相同，但是当前异常被当作未处理。
gu (Go Up)		Debug | Step Out		目标运行到当前函数执行完成。
p (Step)		Debug | Step Over		目标执行一条指令。如果该指令是函数调用，则这个调用被当作一步执行。
pa (Step to Address)				目标运行直到到达指定的地址。该函数中执行的每一步都会显示出来(但是不显示被调用的函数中的内容。)
pc (Step to Next Call)				目标运行直到遇到下一个call指令。如果当前指令是call，则这个call会被完成并执行到下一个call。
pct (Step to Next Call or Return)				目标继续执行，直到遇到一个call指令或者return指令。
ph (Step to Next Branching Instruction)				目标执行，直到到达任何一种分支指令，包括条件和非条件分支、call调用、函数返回和系统调用。
pt (Step to Next Return)				目标执行，直到遇到return指令。
t (Trace)		Debug | Step Into	F11 F8	目标执行一条指令。如果该指令是一条call，调试器跟踪到这个call中。
ta (Trace to Address)				目标执行直到指定地址。本函数和被调用函数中的每一步都会显示出来。
tb (Trace to Next Branch)				(除内核模式之外的所有模式，仅在基于x86的系统上) 目标运行到下一条分支指令。
tc (Trace to Next Call)				目标运行到下一条call指令。如果当前指令是call，该命令会跟踪进去直到遇到另一条call。
tct (Trace to Next Call or Return)				目标运行到下一条call指令或return指令。如果当前指令是call或return，命令会跟踪进去知道遇到另一个call或return。
th (Trace to Next Branching Instruction)				目标执行直到遇到任意类型的分支指令，包括条件和非条件跳转、call、return和系统调用。如果当前指令是分支指令，该命令跟踪进入直到遇到下一个分支指令。
tt (Trace to Next Return)				目标运行直到遇到return指令。如果当前指令是一条return，则跟踪进入直到另外一条return。
wt (Trace and Watch Data)				目标执行，直到指定的函数执行完成。这时会显示统计信息。

关于如何重起目标机的更多信息，查看崩溃和重起目标机。

命令行选项

如果要在程序启动或加载时立即停止，可以在CDB或WinDbg使用-g命令行选项。更多信息，查看初始断点。

CDB和WinDbg也支持-G 命令行选项。 该选项使得当应用程序正常结束时调试会话被结束。

下面的命令尝试从开始到结束的运行应用程序，调试器仅在发生错误时显示提示。

cdb -g -G ApplicationName 

使用-pt 命令行选项来设置中断超时时间。有一些特定问题会造成目标不能和调试器通信。如果输入了某个中断命令但是调试器在这个时间到达之前未能中断目标，则调试器显示一条"Break-in timed out" 消息。

这时，调试器停止试图中断目标的行为。取而代之的是，暂停目标的执行使得可以检查(但不能控制)目标程序的状态。

默认的超时时间是30秒。

http://netroc682.spaces.live.com/

设置路径和加载文件

要有效的进行调试，调试器需要尽可能多地访问和目标机或目标程序相关的信息。

很多情况下，调试器可以自己定位需要的文件。但是，如果没能定位这些文件，可以手动设置寻找的路径。也可以在任何时候加载源码文件，不管源码放在什么地方。

本节包含以下主题：

可执行映像路径

符号路径

源代码路径

可执行映像路径

可执行文件是处理器可以运行的二进制文件。这些文件一般有.exe、.dll或.sys扩展名。可执行文件也称为模块，特别是当它是一个更大的应用程序的组成部分时。Microsoft Windows操作系统执行文件之前，会先把它加载到内存中。内存中的可执行文件拷贝称为可执行映像或映像。

注意  这些术语有时候并不是精确使用的。例如，有些文档将"映像"用于实际的磁盘文件。同样，基于Windows的应用程序所称的可执行文件名(executable name)一般包含了文件扩展名，但是这些程序的模块名(module name)一般不包含文件扩展名。

Windows内核和HAL也有特殊的模块名。例如，模块nt 是Ntoskrnl.exe 文件。

可执行映像路径指定可执行的二进制文件所在的目录。

大多数情况下调试器都知道可执行文件的位置，所以不需要指定该路径。

但是，有时候这个路径是需要的。例如，内核模式小内存转储文件没有包含发生停机错误(即崩溃)时内存中所有可执行文件。同样，用户模式的minidump文件也没有包含应用程序的二进制内容。如果设置了可执行文件路径，调试器就可以找到这些二进制文件。

可执行映像路径语法

调试器的可执行映像路径由多个由分号分割的目录路径组成。

支持相对路径。但是，除非总是从同一个目录启动调试器，否则还是需要在每个路径前加上盘符和网络共享名。网络共享也可以被支持。

调试器会递归搜索可执行映像路径。即调试器会搜索路径列表中的目录的所有子目录。

控制可执行映像路径

可以通过如下方法之一来设置可执行映像路径：

• 启动调试器之前，使用_NT_EXECUTABLE_IMAGE_PATH 环境变量设置路径。如果这个环境变量中有非法路径，则调试器跳过这个目录。
• 启动调试器时，使用-i 命令行选项设置路径。
• 用.exepath 命令显示、设置、修改或添加路径。
• (仅WinDbg) 使用File | Image File Path 命令或按下CTRL+I来显示、设置、修改或添加路径。

如果使用了-sins 命令行选项，调试器忽略环境变量中的可执行映像路径。

符号路径

符号路径指定符号文件所在的目录。关于符号文件的更多概述信息，查看符号。

一些编译器(例如Microsoft Visual Studio)将符号文件和二进制文件放到同一个目录中。符号文件和调试版的二进制文件包含路径和文件名信息。这些信息一般用来让调试器自动寻找符号文件。如果在构建的机器上调试一个用户模式进程，并且符号文件还在原来的位置，调试器在没有进行设置的情况下就能定位符号文件。

大多数时候，都必须将符号路径设置为符号文件所在的位置。

符号路径语法

调试器的符号路径由多个由分号分割的目录路径组成。

支持相对路径。但是，除非总是从同一个目录启动调试器，否则还是需要在每个路径前加上盘符和网络共享名。网络共享也可以被支持。

对于符号路径中的每个目录，调试器都会在里面查找三个目录。例如，符号路径包含c:\MyDir 目录，而调试器在查找一个DLL的符号信息，它会首先查找c:\MyDir\symbols\dll，然后c:\MyDir\dll ，最后是c:\MyDir 。调试器对符号路径中的每个目录都重复这个过程。最终它会在当前目录和加上\dll的子目录中查找。(调试器添加dll,exe或者sys取决于正在调试的二进制文件类型。)

无论如何，由于符号文件具有日期和时间戳，所以不用担心调试器因为按照这个顺序查找而使用错误的符号。它总是会查找时间戳和被调试的二进制文件匹配的符号。关于符号文件不不可用时的应对方法的信息，查看符号文件无效或丢失。

注意  如果连接到Internet或者公有网络，最有效的访问符号的方法是使用符号服务器。可以在符号路径中使用srv* 或symsrv* 字符串来使用符号服务器。更多信息，查看使用符号服务器和符号存储。

延迟符号加载

调试器默认会进行延迟符号加载(称为lazy symbol loading或deferred symbol loading)。这意味着符号仅在使用的时候才会被加载。但是，当符号路径改变时，所有已加载符号会立即重新加载。关于延迟符号加载以及如何启用和禁用它的更多信息，查看延迟符号加载。

可以在CDB和KD中使用-s 命令行选项关闭延迟符号加载。也可以使用 ld (Load Symbols) 命令或者.reload (Reload Module)和/f选项强制加载符号。

控制符号路径

使用下面的方法之一来控制符号路径：

• 启动调试器之前，使用_NT_SYMBOL_PATH 和_NT_ALT_SYMBOL_PATH 环境变量设置路径。符号路径通过将_NT_ALT_SYMBOL_PATH添加到_NT_SYMBOL_PATH之后来创建。(一般通过_NT_SYMBOL_PATH来设置路径。但是有时候可能希望使用_NT_ALT_SYMBOL_PATH来覆盖这些设置，例如拥有共享的符号文件的私有版本时。) 如果这些环境变量中有无效目录，调试器跳过这个目录。
• 启动调试器时，使用-y 命令行选项设置。
• 用.sympath 命令显示、设置、修改或添加路径。如果使用源码服务器， .symfix (Set Symbol Store Path)命令和.sympath 类似，但是会保存输入。
• (仅WinDbg) 使用File | Symbol File Path 命令或按下CTRL+S来显示、设置、修改或添加路径。

如果使用了-sins 命令行选项，调试器忽略环境变量中的符号路径。

Cache*<localsymbolcache>

Cache*<localsymbolcache> 可以将从符号服务器任何指定目录结构下载的符号保存到本地缓存中。该命令对符号路径中在它右边的所有目录起效，所以只能指定一次。例如，可以使用下面的.sympath 命令将\\private 共享中的所有.pdb文件保存缓存到C:\symbols 中。

.sympath \\share\that\cachestar\ignores;cache*c:\symbols;\\private\binary\symbol\location;\\private\test\build\symbol\share

作为联系，可以试验下面的示例设置。

_NT_SYMBOL_PATH=srv*c:\symbols*\\symbols\symbols;cache*c:\symbols

这样，之后添加的所有符号都会自动保存到本地缓存中。

如果本地缓存变得过大，可以使用调试工具包中的AgeStore 工具来清除最近未使用的符号。用下面的命令查看AgeStore 的语法。

agestore.exe /?

关于符号服务器和符号存储的更多信息，查看使用符号服务器和符号存储。

AgeStore 命令的更多信息，查看工具和文档列表。

源码路径

源码路径指定C和C++源代码文件所在的目录。

如果在构建可执行文件的机器上调试用户模式进程，并且源码还保存在原始位置，则调试器可以自动定位这些文件。

大多数其它情况下，都必须设置源码路径或者加载单个源码文件。

进行通过调试器的远程调试时， 调试服务器会使用源码路径。如果使用WinDbg作为调试器，每个调试客户端都有它自己的本地源码路径。所有和源码相关的命令都访问本地计算机上的源码文件。在所有需要使用源码命令的客户端或者服务器上都需要设置合适的路径。

多路径系统同样启用一个调试客户端来使用源码相关命令而并不实际和其他客户端或服务器共享源代码。这种系统对于某个用户需要访问私有或保密代码的时候非常有用。

可以随时加载某个源码文件，不管源码路径是什么内容。

源码路径语法

调试器的源码路径由多个由分号分割的目录路径组成。

支持相对路径。但是，除非总是从同一个目录启动调试器，否则还是需要在每个路径前加上盘符和网络共享名。网络共享也可以被支持。

注意  如果连接到公有网络，最有效的访问源码文件的方式是使用源码服务器。在源码路径中使用srv* 字符串来使用源码服务器。更多信息，查看使用源码服务器。

控制源码路径

使用下列方法之一来控制源码路径：

• 启动调试器之前，通过_NT_SOURCE_PATH 环境变量设置源码路径。如果环境变量中添加了无效目录，则调试器忽略这个目录。
• 启动调试器时，使用-srcpath 命令行选项设置源码路径。
• 用 .srcpath 命令显示、设置、修改或添加源码路径。如果使用源码服务器，使用.srcfix (Use Source Server) 会稍微容易一些。
• (仅WinDbg)用 .lsrcpath 命令显示、设置、修改或添加本地源码路径。如果使用源码服务起，使用.lsrcfix (Use Local Source Server)会稍微容易。
• (仅WinDbg) 使用 File | Source File Path 命令或按下CTRL+P来显示、设置、修改或添加源码路径或本地源码路径。

也可以通过下面的方法直接打开或关闭源码文件：

• 使用lsf (Load or Unload Source File) 命令来打开或关闭源码文件。
• (仅WinDbg) 使用.open (Open Source File) 命令来打开源码文件。
• (仅WinDbg) 用File | Open Source File 命令或按下CTRL+O来打开源码文件。也可以使用工具栏上的Open source file (Ctrl+O) 按钮() 。

  注意  当使用File | Open Source File (或者使用相同功能的快捷菜单和按钮) 来打开源码文件时，该文件的路径会自动添加到源码路径中。

• (仅WinDbg) 使用File | Recent Files 命令来打开WinDbg最近打开过的4个文件之一。
• (仅WinDbg) 用 File | Close Current Window 命令或点击源码窗口(Source window)角上的Close按钮来关闭一个源码文件。

关于如何使用源码文件的更多信息，查看源码模式调试。

http://netroc682.spaces.live.com/

使用调试器命令程序

本节包含下面的主题：

调试器命令程序的组成

流程控制符

调试器命令程序的执行

调试器命令程序示例

调试器命令程序概述

调试器命令程序是由调试器命令和如.if、.for和.while.这样的流程控制符组成的小程序。 (流程控制符和语法的完整列表，查看流程控制符。)

可以用大括号( { } )将大的命令块中的声明块括起来。输入每个块的时候，块中的所有别名都会被解析。如果改变了命令块中别名的值，之后除了次级块中的命令之外的命令都不会使用新的别名值。

不能用一对大括号来创建块。必须在{之前加上流程控制符。如果要创建只用来展开别名的块，应该在{之前使用.block 标记。

调试器命令程序可以使用自定义别名和固定别名作为它的本地变量。如果要使用数值或类型变量，可以使用$tn 伪寄存器。

自定义别名仅在不和其他文本连接时会被替代。如果要展开和其他文本连接的别名，使用${ }  (Alias Interpreter)标记。该标记有一些选项开关可以以不同方式展开别名。

使用双美元符号 ($$  (Comment Specifier))来为调试器命令程序添加注释。不能在标记和它的成员之间插入注释(例如大括号或条件) 。

注意  不能使用星号 (*  (Comment Line Specifier))。 由于星号指定的注释不是以分号结尾的，所以程序的其余部分都会被忽略掉。

一般来说在调试器命令程序中都使用MASM语法。如果要使用C++的内容(例如指定结构或类成员)，可以用@@c++( ) 标记来切换到C++ 语法。

MASM语法中的$scmp、$sicmp和$spat 字符串操作符非常有用。这些操作符的更多信息，查看MASM数字和操作符。

流程控制符

可以使用流程控制符 来在调试器命令程序中创建条件执行和循环语句。

除了下面一些例外之外，流程控制符和C/C++中的控制符行为都是相似的：

• 即使只有一条命令，所有条件执行和循环也必须用大括号括起来。例如，不能省略下面命令中的大括号。

  0:000> .if (ebx>0) { r ebx }
  

• 所有条件都必须是一个表达式。不能使用命令作为条件。例如下面的例子会出现语法错误。

  0:000> .while (r ebx) { .... }
  

• 反的大括号(})之前的最后一条命令不需要用分号结束。

调试器命令程序中支持以下流程控制符。关于每个标记的语法的详细信息，查看他们各自的参考信息。

• .if 标记类似C中的if关键字。
• .else标记类似C中的else关键字。
• .elsif标记类似C中的else if关键字。
• .foreach 标记解析调试器命令的输出、字符串或文本文件。然后将它找到的每条数据作为指定的调试器命令的输入。
• .for标记类似C中的for关键字，但是必须用分号分割多个增量命令，而不是逗号。
• .while标记类似C中的while关键字。
• .do 和C中的do 关键字类似，但是不能在条件之前使用"while" 。
• .break和C中的break关键字类似。可以在任何.for、.while或 .do循环中使用。
• .continue和C中的continue关键字类似。可以在任何.for、.while或 .do循环中使用。
• .catch 标记避免程序由于出现错误而终止。.catch标记后跟用大括号括起来的一条或多条命令。如果某条命令产生错误，则显示错误信息并跳过在大括号中剩下的命令，接着继续执行大括号之后的第一条命令。
• .leave 标记用于退出一个.catch 块。
• .printf 和C语言中的printf类似。
• .block标记没有操作。使用该标记来创建一个块，因为不能仅使用大括号创建块。在前大括号之前必须加上流程控制符。

调试器命令程序中，!for_each_module, !for_each_frame和!for_each_local 扩展命令也非常有用。

执行调试器命令程序

可以使用下面的方法之一来执行调试器命令程序：

• 以单个字符串在调试器命令窗口中输入所有语句和命令，每个语句和命令之间用分号隔开。
• 将所有语句写在脚本文件的单行中，每个语句和命令之间用分号隔开。然后用使用脚本文件中描述的方法运行脚本。
• 在脚本文件中输入所有语句，每条语句占一行。 (既用回车或分号来分割不同的语句。) 然后使用$>< (Run Script File) 或 $$>< (Run Script File) 命令运行脚本。 这些命令会打开脚本文件，用分号替换所有的回车符，然后将结果文本当作单个命令块执行。

调试器命令程序示例

本主题的下面一小节描述了调试器命令程序的示例。

使用 .foreach 标记

下面的例子是用.foreach 标记搜索word值然后将他们以DWORD和字符的方式显示出来。

0:000> .foreach (place { s-[1]w 77000000 L?4000000 5a4d }) { dc place L8 } 

s (Search Memory)命令和-[1]选项一起使得输出只包含它找到的地址，而不是在这些地址上找到的值：

下面的命令显示所有位于0x77000000 到0x7F000000地址范围内的模块的详细信息。

0:000> .foreach (place { lm1m }) { .if ((${place} >= 0x77000000) & (${place} <= 0x7f000000)) { lmva place } } 

lm (List Loaded Modules)和1m选项 使得它的输出只包含模块地址，而不是模块的完整描述。

上面的例子使用${ }  (Alias Interpreter)标记来确保别名即使和其他文本连接在一起也能被正确替换。如果不这样，和place 连在一起的圆括号可能使得别名无法被替换掉。注意这对于.foreach 和真实的别名使用的变量都起效。

遍历进程列表

下面的示例遍历内核模式的进程列表并显示列表中所有入口的可执行文件名。

该示例应该保存在文本文件中并用$$>< (Run Script File) 命令执行。该命令加载整个文件，用分号替换所有回车然后再执行。该命令使得可以通过使用多行和缩进来编写更具可读性的程序，而不是将所有程序挤压到单独一行中。

该示例使用了下面一些特性：

• 程序中使用$t0、$t1和$t2 伪寄存器作为变量。还使用了别名Procc 和$ImageName。
• 该程序使用MASM表达式语法。但是@@c++( )标记也出现了一次。 这个标记使得圆括号中的表达式使用C++ 语法。这里用来在程序中直接使用C++结构。
• r (Registers) 和?标志一起使用。该标志为伪寄存器$t2指派有类型的值。

$$  Get process list LIST_ENTRY in $t0.
r $t0 = nt!PsActiveProcessHead

$$  Iterate over all processes in list.
.for (r $t1 = poi(@$t0);
      (@$t1 != 0) & (@$t1 != @$t0);
      r $t1 = poi(@$t1))
{
    r? $t2 = #CONTAINING_RECORD(@$t1, nt!_EPROCESS, ActiveProcessLinks);
    as /x Procc @$t2

    $$  Get image name into $ImageName.
    as /ma $ImageName @@c++(&@$t2->ImageFileName[0])

    .block
    {
        .echo ${$ImageName} at ${$Procc}
    }

    ad $ImageName
    ad Procc
}

遍历LDR_DATA_TABLE_ENTRY 链表

下面的例子遍历用户模式的LDR_DATA_TABLE_ENTRY 链表，并显示每个链表入口中的基地址和完整路径。

和上面的示例一样，需要将程序保存到文本文件中，并用$$>< (Run Script File)命令执行。

该示例使用了下面一些特性：

• 该程序使用MASM表达式语法。但是在两个地方使用了@@c++( ) 标记。这个标记使得圆括号中的表达式使用C++ 语法。这里用来在程序中直接使用C++结构。
• r (Registers) 和?标志一起使用。该标志为伪寄存器$t0 和$t1指派有类型的值。循环体中，$t1具有ntdll!_LDR_DATA_TABLE_ENTRY*类型，所以程序可以直接引用它的成员。
• 使用了自定义别名$Base 和$Mod。双美元符号避免了这些别名在当前调试器会话之前被使用过的可能性。美元符号不是必须的。${/v: } 标记会逐字解释别名，避免如果脚本运行之前定义过同名的别名使得它被替换的情况。 也可以将该标记和语句块一起使用，避免在语句块之前定义的别名的影响。
• .block 标记用于增加一个额外的别名替换步骤。别名在整个脚本被加载时会进行一次替换，在进入每个语句块的时候还会进行一次替换。如果没有.block 标记和它的大括号，.echo 命令无法接收到上一行中赋给$Mod 和$Base 别名的值。

$$ Get module list LIST_ENTRY in $t0.
r? $t0 = &@$peb->Ldr->InLoadOrderModuleList
 
$$ Iterate over all modules in list.
.for (r? $t1 = *(ntdll!_LDR_DATA_TABLE_ENTRY**)@$t0;
      (@$t1 != 0) & (@$t1 != @$t0);
      r? $t1 = (ntdll!_LDR_DATA_TABLE_ENTRY*)@$t1->InLoadOrderLinks.Flink)
{
    $$ Get base address in $Base.
    as /x ${/v:$Base} @@c++(@$t1->DllBase)
    
    $$ Get full name into $Mod.
    as /msu ${/v:$Mod} @@c++(&@$t1->FullDllName)
 
    .block
    {
        .echo ${$Mod} at ${$Base}
    }
 
    ad ${/v:$Base}
    ad ${/v:$Mod}
}

http://netroc682.spaces.live.com/

调试器命令窗口

本节包含以下主题：

使用调试器命令

表达式求值

使用外壳命令

使用别名

使用脚本文件

使用调试器命令

使用调试器命令

对于KD或CDB来说，"调试器命令窗口"就是整个窗口。在窗口底部的提示符位置输入命令。如果命令有输出，则窗口显示这些输出并重新显示提示符。

对于WinDbg，"调试器命令窗口"指标题为"Command"的窗口。该窗口有两个部分：

• 较小的，底部的部分用于输入命令。
• 大的，上边的部分用来查看命令输出。

这个窗口始终在开始调试会话的时候就会打开。可以通过点击View菜单中的Command、按下ALT+1或者点击工具栏上的Command(Alt+1)按钮()来重新打开或者切换到该窗口。

可以通过按下上箭头和下箭头来滚动查看历史命令。当前面使用过的命令出现时，可以编辑并按下ENTER来执行这条命令(或者编辑过的命令)。光标不需要在行尾即可正常工作。

调试命令窗口提示符

进行用户模式调试时，调试命令窗口的提示符如下例中一样。

2:005>

上例中，2是当前进程号，005是当前线程号。

如果将调试器附加到不止一台计算机，在进程和线程号之前会有一个系统号。如下。

3:2:005>

这个例子中，3是当前系统号，2是当前进程号，005是当前线程号。

进行内核模式调试时，如果目标机只有一个处理器，提示符如下。

kd>

但是，如果目标机有多个处理器，当前处理器号会在提示符之前显示，如下。

0: kd> 

如果KD或CDB中没有提示符出现，或者WinDbg的调试器命令窗口不可用，说明调试器不能输入任何命令。但是，仍然可以使用KD和CDB的控制键，以及WinDbg的菜单命令和 快捷键。

也可以使用.pcmd (设置提示命令) 命令为提示增加字符。

命令类型

WinDbg、KD和CDB支持各种命令。一些是各调试器共有的，一些只能在某些调试器中可用。

一些命令只工作在活动调试下，另有一些命令只在调试dump文件时有用。

一些命令只在用户模式调试可用，令一些只在内核模式调试有用。

一些命令仅在当目标运行在特定处理器上时才有用。关于这些命令和限制的详细信息，查看调试器命令。

编辑、重复和取消命令

输入命令时可以使用标准编辑按键：

• 用上下方向键查找先前的命令。
• 使用空格、DELETE、INSERT 和左右方向键编辑当前命令。
• 用ESC键清除当前行。

可以按下TAB键来自动完成文本输入。在任一款调试器中都可以在输入至少一个字符之后通过按下TAB来自动补完命令。重复按下TAB来循环所有的自动完成命令，或者按下SHIFT和TAB来反向循环。也可以在文本中使用通配符并通过TAB来展开成完整命令。例如，如果输入fo*!ba 并按下TAB，调试器将展开为所有名字以"fo"开头的模块中所有以"ba"开头的符号。又比如，可以通过键入!*prcb 并按下TAB来完成所有包含"prcb"的扩展命令。

当使用TAB自动完成时，如果文本片断以点号(.)开始，文本将会以点命令来匹配。如果以感叹号(!)开始，则以扩展命令来匹配。另外，文本还会和符号进行匹配。使用TAB来输入符号时，按下TAB完成代码和符号以及模块名。如果没有显式指定模块名，则用本地符号和模块来补完。如果给出了模块或者模块的模板，则会按所有匹配的符号来补完。

可以右键点击调试器命令窗口来自动将剪贴板中的内容粘贴到命令中。

命令的最大长度为4096个字符。但是，如果从内核调试其控制用户模式调试器，最大长度为512字符。

在CDB和KD中，按下ENTER会自动重复上一条命令。在WinDbg中，可以启用或禁用这个特性。关于该特性的更多信息，查看ENTER (重复上一条命令)。

如果上一条命令产生了很上的输出并且想中断它，可以在CDB和KD中使用CTRL+C 。在WinDbg中，使用Debug | Break 或按下 CTRL+BREAK。

在内核模式调试时，可以通过按下CTRL+C中断目标机的命令执行。

使用.cls (清除屏幕)命令清空调试器命令窗口的所有文本。该命令清除所有命令的历史记录。 在WinDbg中，可以使用Edit | Clear Command Output 命令或者在调试器命令窗口的快捷菜单中点击Clear command output来清除命令历史记录。

表达式语法

很多命令和扩展命令都接受表达式作为参数。调试器在执行命令之前先计算这些表达式的值。关于表达式的更多信息，查看表达式计算。

别名

别名是用来避免重复键入复杂语句的文本宏。有两种类型的别名。更多信息，查看使用别名。

自重复命令

使用如下命令来重复操作或条件执行其他命令：

• j (Execute If-Else) 条件命令
• z (Execute While) 条件命令
• ~e (Thread-Specific Command) 命令修饰符
• (Windows XP和之后版本Windows) !list 扩展命令

关于每条命令的更多信息，查看各命令的说明。

控制滚动条

使用滚动条来查看之前的命令和它们的输出。

使用CDB和KD时，所有键盘输入都自动将调试器命令窗口置于窗口底部。

在WinDbg中，当命令产生输出或按下ENTER键时，文本显示都会自动滚动到底部。如果要禁用自动滚动，点击View菜单的Options 并清除Automatically scroll 选择框。

WinDbg文本特性

在WinDbg中，可以使用更多改变文本如何在调试器命令窗口中显示的特性。一些可以在WinDbg窗口中使用，一些可以在调试器命令窗口的快捷菜单中使用，也有一些可以在菜单图标上点击。

• 快捷菜单的Word wrap命令打开或关闭自动换行。这个命令对所有窗口生效，而并不只是选择这条命令的窗口。由于很多命令和扩展命令都产生格式化的输出，所以一般不建议打开自动换行。
• Edit | Add to Command Output 菜单命令在调试器命令窗口添加注释。快捷菜单的Add to command output 命令有相同作用。
• 可以自定义调试器命令窗口的背景和字符颜色。可以为不同类型的文本指定不同颜色。例如，可以以某种颜色显示自动的寄存器输出，用另外一种颜色显示错误信息，再用第三种颜色显示DbgPrint信息。更多信息，查看View | Options。
• 可以使用所有WinDbg调试信息窗口的共有特性，例如自定义字体和使用特殊编辑命令。关于这些特性的更多信息，查看使用调试信息窗口。

远程调试

通过调试器进行远程调试时，调试客户端可以访问有限的命令。要修改客户端可以访问的命令数，使用-clines 命令行选项或者 _NT_DEBUG_HISTORY_SIZE 环境变量。

表达式计算

调试器能够识别两种表达式类型：MASM表达式和C++表达式。

如果没有特别指出，本帮助文档示例中使用的是Microsoft宏汇编(MASM)表达式。在MSAM表达式中，所有符号都被当作地址对待。

C++表达式和真实的C++代码中一样，符号被当作适当的数据类型。

每种语法何时被使用

可以使用下面的方法之一来选择默认的表达式类型：

• 在调试器启动之前使用_NT_EXPR_EVAL 环境变量。
• 调试器启动时，使用-ee {masm|c++} 命令行选项。
• 调试器启动之后，使用.expr (Choose Expression Evaluator) 命令来显示或修改表达式类型。

如果没用使用上面任何一种方法，调试器使用MASM表达式。

如果想不改变默认的表达式类型来计算一个表达式，可以使用? (Evaluate Expression) 命令。

除了下面几种例外情况，所有命令和调试器信息窗口都通过默认表达式来解释他们的参数：

• ?? (Evaluate C++ Expression) 命令总是使用C++ 表达式形式。
• Watch窗口始终使用C++表达式。
• Locals窗口始终使用C++ 表达式。
• 有些扩展命令始终使用MASM表达式(而有一些扩展命令只允许使用数字参数)。
• 如果将表达式用圆括号括起来，并在表达式前面插入两个at符号(@@)，将会使用这种情况下通常不使用的表达式形式。

双at符号(@@)使得可以在单个命令中为不同参数使用不同的表达式类型。也可以在长表达式中使用两种不同形式来计算子表达式。双at号可以嵌套。每层@@号都将表达式类型改为另一种。

警告