首页 > 代码库 > windbg命令学习3

windbg命令学习3

2024-08-01 06:45:31   212人阅读

3、进程与线程:

既可以显示进程和线程列表,又可以显示指定进程或线程的详细信息。调试命令可以提供比taskmgr更详尽的进程资料,在调试过程中不可或缺。

 

3.1. 进程命令

进程命令包括以下:显示进程列表、进程环境块、设置进程环境。

多个命令可显示进程列表,但一般只能在特定情况下使用,它们是:|、.tlist、!process和!dml_proc

  • |  [进程号]

  请注意这里的定语:被调试进程列表。大多数情况下调试器中只有一个被调试进程,但可以通过.attach或者.create命令同时挂载或创建多个调试对象。当同时对多个进程调试时,进程号是从0开始的整数。下图中显示了两个被调试的进程。

  • .tlist [选项] [模块名]

      .tlist命令显示当前系统中的进程列表,他是目前唯一可在用户模式下显示系统当前进程列表的命令。它有两个可选项:-v显示进程详细信息,-c只显示当前进程信息。

  内核模式下同样可以使用.tlist,但更好的命令是!process。!process在内核模式下显示进程列表,和指定进程的详细信息,也能显示进程中的线程和调用栈内容

 

3.2.线程命令

命令“~”能够进行线程相关的操作。不带任何参数的情况下,它列出当前调试进程的线程。下图是计算器进程某时刻的线程列表:

||0:0:001> ~#  0  Id: f78.374 Suspend: 0 Teb: 000007ff`fffdc000 Unfrozen.  1  Id: f78.fb0 Suspend: 0 Teb: 000007ff`fffda000 Unfrozen   2  Id: f78.a4c Suspend: 0 Teb: 000007ff`fffd8000 Unfrozen   3  Id: f78.22c8 Suspend: 0 Teb: 000007ff`fff9a000 Unfrozen   4  Id: f78.2658 Suspend: 0 Teb: 000007ff`fffd4000 Unfrozen   5  Id: f78.cbc Suspend: 0 Teb: 000007ff`fff96000 Unfrozen   6  Id: f78.21ec Suspend: 0 Teb: 000007ff`fffd6000 Unfrozen
使用此命令可进行的线程操作包括:线程切换、线程环境、线程时间等

线程遍历

仍然是~命令。它除了能够作为线程列表命令外,还可用来对线程进行遍历,并执行指定命令。只需借助通配符“*”即可。如:

  • ~*k
显示所有线程栈信息(此命令意指:对所有线程执行k指令)。下图中,当前进程共包含两个线程,显示了这两个线程各自的栈信息:

其他有用的遍历指令包括:

  • ~*r
显示线程寄存器信息。
  • ~*e
上面的e是execute(执行)的缩写,后可跟一个或多个Windbg命令。它遍历线程并对每个线程执行指定命令,如:
  • ~*e  k;r
此命令意为:在所用线程环境中(~*),分别执行(e)栈指令(k)和寄存器指令(r)。
线程时间
在软件调试的时候,若发现某线程占用执行时间过多,就需要当心是否有问题。线程执行时间的多少,其实就是占用CPU执行工作的时间多少。某线程占用越多,此长彼消,则系统中其它线程占用CPU的时间就越少。
线程的时间信息包括三个方面:自创建之初到现在的总消耗时间、用户模式执行时间、内核模式执行时间。需注意的是,消耗时间一定会远远大于用户时间+内核时间,多出来的是大量空闲时间(为Idle进程占用)。使用下面的命令查看线程时间:
  • .ttime
  • !runaway 7
在!runaway命令中加入标志值7,将显示线程的全部三种时间值。
这两个命令的区别之处是,.ttime只能显示当前线程的时间信息,!runaway能显示当前进程的所有线程时间。下图是这两个命令的使用情况:
0:009> .ttimeCreated: Wed Aug  7 16:47:29.011 2013 (UTC + 8:00)Kernel:  0 days 0:00:00.031User:    0 days 0:00:00.0460:009> !runaway 7 User Mode Time  Thread       Time   2:604       0 days 0:00:51.729   4:600       0 days 0:00:47.159   0:4f4       0 days 0:00:00.031   3:61c       0 days 0:00:00.000   1:5e0       0 days 0:00:00.000 Kernel Mode Time  Thread       Time   4:600       0 days 0:13:45.073   2:604       0 days 0:08:44.100   3:61c       0 days 0:00:00.000   1:5e0       0 days 0:00:00.000   0:4f4       0 days 0:00:00.000 Elapsed Time  Thread       Time   0:4f4       16 days 0:14:02.254   4:600       16 days 0:14:02.207   3:61c       16 days 0:14:02.207   2:604       16 days 0:14:02.207   1:5e0       16 days 0:14:02.207
            对上二图进行对比,能看出两个命令之间的功能差异。
 
 
windbg命令学习3






























        

            
                
                  
                
                

                    联系

                    我们