WinDbg でダンプ解析、ライブデバッグを行う時のチートシート

# モジュールの列挙
lm

# a から始まるモジュールの列挙
lm m a*

# モジュール情報の表示、タイムスタンプなども表示できる
# !lmi でも、モジュールの詳細情報を取得できる
lm Dvm <modulename>

# シンボルからモジュールの main 関数のアドレスを解決
x modulename!*main*

# a から始まる関数名の列挙
x /D /f modulename!a*

# アドレスからシンボル名を解決
ln address

# レジスタの一覧表示
r

# 特定レジスタ、複数レジスタの表示
r eip
r zf
r eax,ebx,ecx,edx,ebp,eip

# レジスタの値の書き換え
r eax=00000001
r zf=0

# 2 番目のスレッドに割り当てられているレジスタの表示
# または、~1s などで現在のスレッドを切り替えてから出力する
~1 r

# すべてのスレッドに関連づけられているレジスタの表示
~* r eax

# xmm0 を符号なし 16 バイトとして表示
# xmm1 は倍精度浮動小数点形式で表示
r xmm0:16ub, xmm1:d

# 疑似レジスタの表示
r $peb,$teb

# eax に ebx の値をコピー
r eax = @ebx

# メモリアドレスの範囲またはオフセットを指定してメモリ内の Hex と ASCII を出力
dc 0x1000 0x1200

# L はオブジェクトカウントを指す
# dc @addr L1 は DWORD 1 つ分、dq @addr L1 は QWORD 1 つ分
dc @eip L1
dc 0x1000 L20

# アドレス単体や、アドレス値を持つレジスタを参照することも可能
dc 0x1000
dc eax

# dps、dqs でメモリ内の値をポインタサイズに合わせた値と、解決可能な場合にはシンボル情報を表示
dps rsp
dqs rsp

# 32bit(ddp)、64bit(dqp)でメモリを表示
ddp 0x1000
dqp 0x1000

# ASCII 文字列で表示
da 0x1000

# UNICODE 文字列で表示
du rsp+0x40

# バイト値の書き換え
eb 0x1000 

# ASCII 文字列の書き換え
ea 0x1000 "change ascii"

# 疑似レジスタの利用、$p には直近の d* コマンドの結果が格納されている
dd r11 L1 ; ? $p

# RSP のアドレスから 1000000 バイトの範囲で DWORD 値 H を検索する
s -d @rsp L1000000 'H'

# RSP のアドレスから 1000000 バイトの範囲で ASCII 文字列 Hello を検索する
s -a @rsp L10000000 "Hello"  

# 0 から 0x7fffffff までの広い範囲で ASCII 文字列 Hello を検索する
# 256 MB 以上の大きな範囲を検索する場合は、 L? の指定が必ず必要になる
s -a 0 L?7fffffff "Hello"

# ASCII と同様に、Unicord 文字列も検索することができる
s -u @rsp L1000000 'Hello'
s -u 0 L?7fffffff "Hello"

# RSP のアドレスから 400 バイトの範囲で「長さ 4 文字以上の ASCII 文字列」を検索
s -[l4]sa @rsp L400

# RSP のアドレスから 400 バイトの範囲内の「書き込み可能アドレス」から「長さ 4 文字以上の ASCII 文字列」を検索
s -[wl4]sa @rsp L400

# アドレス 0xb3f668 から 0x100 バイト分のメモリデータを C:\Temp\output.bin に保存
.writemem C:\Temp\output.bin 0xb3f668 L0x100

# バイナリのオフセット 3000 から 0x1ce00 バイト分のメモリデータを C:\Temp\output.exe に保存
.writemem C:\Temp\output.exe binary+3000 L0x1ce00

# EIP から数行のアセンブリコードを出力(ub は逆方向に出力)
u
ub

# 指定のアドレスから 10 行分のアセンブリコードを出力
u 0x1000 L10

# 特定のレジスタ内のアドレスを使用することも可能
u eax L10
u eip L20

# 関数のアドレスまたはシンボル名から特定の関数全体のコードを出力
uf 0x1000
uf module!function

# 対象関するルーチン内の call 命令のみ抽出
uf /c 0x1000

# 現在のスコープ内のローカル変数を出力(/t で型名を表示)
dv
dv /t

# 変数の型名は dt コマンドからも解決することができる
dt local_val_name

# シンボル名またはアドレスから構造体を解決
dt MyStruct

# 構造体のメンバになっているサブ構造体の情報も再帰的に列挙するために -r もしくは -b を使用する
dt -r MyStruct

# -r1 -r2 などのようにして再帰的に表示する構造体の階層を指定できる
dt -r2 MyStruct

# カーネル構造体の型情報を列挙できる
dt nt!_*
dt nt!*PEB*

# 特定の構造体のアドレスを指定することで実際の値を取得できる
dt nt!_EPROCESS <EPROCESSのアドレス>

# サブタイプ名を指定することで、特定の値のみ抽出することもできる
dt nt!_EPROCESS ImageFileName <EPROCESSのアドレス>

# -l オプションでリンクされたリストをたどって構造体情報をダンプする
# -y オプションで「指定の文字列が名前の先頭部分に一致する」行を出力する
# -o オプションでオフセットを非表示にする
# -i オプションでサブタイプのインデントを行わない
dt nt!_EPROCESS -l ActiveProcessLinks.Flink  -y Ima -yoi Uni <EPROCESSのアドレス>

# dt ではサブ構造体の情報を取得できないので -r か -b スイッチを使う
dt ntdll!_EPROCESS -r <EPROCESSのアドレス>
dt ntdll!_EPROCESS -b <EPROCESSのアドレス>

# テーブル情報を参照する
!dh -f !<module_name>

# テーブル情報から特定したアドレスとサイズからインポートテーブルの情報を列挙する
dps !<module_name>+<IAT のアドレス> !<module_name>+<IAT のアドレス>+<IAT のサイズ>

# DOS ヘッダの列挙
dt /r _IMAGE_DOS_HEADER @@masm(!<module_name>)

# NT ヘッダ(FileHeader / OptionalHeader)の列挙
# e_lfanew は、DOS ヘッダの 0x3C にある PE ヘッダのポインタから取得
dt /r _IMAGE_NT_HEADERS64 @@masm(!<module_name>+<e_lfanew の値>)

# NT ヘッダ の FileHeader のサイズに SizeOfOptionalHeader の値を足したアドレスから最初の SectionHeader を取得する 
dt /r _IMAGE_SECTION_HEADER @@masm(!<module_name>+0xF8+0x018+<SizeOfOptionalHeader>)

# _IMAGE_SECTION_HEADER のサイズである 0x28 を足して行くと次のセクションの情報を参照できる(事前に構造体のシンボルをロードする必要あり)
dt /r _IMAGE_SECTION_HEADER @@masm(!<module_name>+0xF8+0x018+<<SizeOfOptionalHeader>+0x28)

# オフセットを指定してブレークポイントを設定
bp module+0x123
bu dllmodule!DLLMain

# mem から始まる複数のモジュールにまとめてブレークポイントを設定
bm myprogram!mem*

# ブレークポイントを設定した処理が 7 回目に呼び出された場合に実行を停止する
bp MyTest+0xb 7

# ブレークポイントにマッチした後、 EAX と変数 MyVar の出力を行い、自動的に実行を再開する
bp ntdll!RtlRaiseException "r eax; dt MyVar; gc"

# echo で任意の文字列を出力して処理を続行
bp module!myFunction ".echo myFunction executed; gc"

# IF 文条件式の基本的な構文
bp module!myFunction ".if () {} .else {}"

# var のアドレスを poi で逆解決し、10 進数の 10 と比較
# 一致すれば何もせずブレークし、一致しない場合は処理を継続する
bp module!myFunction ".if ( poi(var) == 0n10 ) {} .else { gc }"

# 以下も上記と同等の結果を得られる
bp module!myFunction "j ( poi(var) == 0n10 ) ''; 'gc'"

# ブレークポイントをすべてクリア
bc *

# 変数名または変数のアドレスから「4 バイト分の領域に読み取りアクセスが発生した場合」にブレークする
ba r4 myVar
ba r4 0x1000

# 対象に書き込みアクセスが発生した場合にブレークする
ba w4 0x1000

# 3f8 から 3f8+4 の範囲のポートで I/O が発生した場合にブレークする(カーネルデバッグ時のみ)
ba i4 3f8

# 現在設定されているブレークポイントの列挙
# ここで表示されるブレークポイントの ID は他の管理コマンドで対象を指定する際に使用できる
bl

# すべてのブレークポイントを無効化する
bd *

# ID 1 のブレークポイントのみを無効化する
bd 1

# すべてのブレークポイントを有効化する
be *

# ID 1 のブレークポイントのみを有効化する
be 1

# 現在のブレークポイント設定に使用したコマンドを上から順にリストする
.bpcmds

# ブレークポイントの ID を変更します
# 複数の ID 変更を一括で行うこともできます
br OldID NewID
br OldID NewID OldID2 NewID2 OldID3 NewID3 

# ブレークポイントのコマンド部分を修正できます
bs ID ["CommandString"] 

# ブレークポイントの条件文を変更できます
bsc ID Condition ["CommandString"] 

# ステップオーバーの処理を行う
p (または F10)

# 5 行分ステップオーバーを実行する
p 5

# ステップオーバーの実行後に WinDbg コマンドを実行する
p "k;r eax"

# 指定のアドレスに到達するまで Step Over を繰り返す
pa StopAddress

# 次の call 命令の呼び出し行まで Step Over する
pc

# pc の場合もカウント実行が可能
pc 3

# 次の ret 命令の呼び出し行まで Step Over する
pt

# 次の call 命令または ret 命令の呼び出し行まで Step Over する
pct

# 次の条件分岐の呼び出しまで Step Over する
ph

# 任意のログファイルにコマンド出力を記録する(ASCII テキスト)
.logopen C:\Users\Public\windbg.log

# プロセス ID と現在の日時を付与(/t)して任意のログファイルにコマンド出力を記録する
.logopen /t C:\Users\Public\windbg.log

# プロセスやファイル情報などから自動的にファイル名を決定して保存
.logopen /d

# 既存のログファイルに追記する
.logappend C:\Users\Public\windbg.log

# ファイルを閉じて記録を終了する
.logclose

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\windbg.exe -logo  C:\Users\Public\debug.log

# ext 拡張機能のヘルプを出力
!ext.help

analyze [-v][level]        - Analyzes current exception or bugcheck (levels are 0..9)
owner [symbol!module]      - Displays the Owner for current exception or bugcheck
comment                    - Displays the Dump's Comment(s)

error [errorcode]          - Displays Win32 or NTSTATUS error string
gle [-all]                 - Displays the Last Error & Last Status of the current thread

address [address]          - Displays the address space layout
        [-UsageType]       - Displays the address space regions of the given type

cpuid [processor]          - Displays the CPU information for a specific or all CPUs

exchain                    - Displays exception chain for the current thread

for_each_process <cmd>     - Executes command for each process
for_each_thread <cmd>      - Executes command for each thread
for_each_frame <cmd>       - Executes command for each frame in the current thread
for_each_local <cmd> $$<n> - Executes command for each local variable in the current frame,
                             substituting the fixed-name alias $u<n> for each occurrence of $$<n>

imggp <imagebase>          - Displays GP directory entry for 64-bit image
imgreloc <imagebase>       - Relocates modules for an image

str <address>              - Displays ANSI_STRING or OEM_STRING
ustr <address>             - Displays UNICODE_STRING

list [-? | parameters]     - Displays lists

cppexr <exraddress>        - Displays a C++ EXCEPTION_RECORD
obja <address>             - Displays OBJECT_ATTRIBUTES[32|64]
rtlavl <address>           - Displays RTL_AVL_TABLE
std_map <address>          - Displays a std::map<>

# 主要な解析の実行
!analyze -v

# グローバルフラグ
NTGLOBALFLAG

# プロセスやアプリケーション関連の情報が記録される
PROCESS_BAM_CURRENT_THROTTLED
PROCESS_BAM_PREVIOUS_THROTTLED
APPLICATION_VERIFIER_FLAGS

# EXCEPTION_RECORD には例外発生、クラッシュしたプロセスの情報が記録される
EXCEPTION_RECORD:  (.exr -1)
ExceptionAddress: 00007ffce5c60910 (ntdll!LdrpDoDebuggerBreak+0x0000000000000030)
	ExceptionCode: 80000003 (Break instruction exception)
	ExceptionFlags: 00000000

# 例外発生時のスタックコールバックがきろくされる
# ~0s ; .cxr ; kb のコマンドでも同等の内容を出力できる
STACK_TEXT

# 問題のカテゴリを表示する
FAILURE_BUCKET_ID

# 各メモリブロックの情報を出力する 
!address

# 指定のアドレスに関する情報を出力する
!address <Address>

# ユーザモードデバッグでメモリに関する統計情報を出力する
!address -summary 

# ハンドル情報の取得
!handle

# すべてのハンドルの詳細な情報をダンプ
!handle 0 0xf

# ハンドル ID が 430 のハンドルの詳細な情報を取得
!handle 430 0xf

# TEB の情報をダンプ
!teb

# PEB の情報をダンプ
!peb

# ビルド済みバイナリを https://kashiwaba-yuki.com/file/dumpext.dll からダウンロードしておく。
.load C:\Users\User\Downloads\dumpext.dll

# プロセスダンプから PE バイナリを "C:\Program Files (x86)\Windows Kits\10\Debuggers\x64" に dump.out としてエクスポートする
!dumpext.dump_pe !<module_name>

# シンボル設定の確認
.sympath

# シンボルキャッシュとソースの設定
.sympath cache*C:\symbols;srv*https://msdl.microsoft.com/download/symbols
.reload

# シンボル読み込み時の詳細を出力/抑制
!sym noisy
!sym quiet

# 不一致シンボルの強制読み込み(非推奨)
.reload /f /i <modulename>

# ロードされている拡張機能のリストを出力
.chain

# 追加の拡張機能のロード
.load <拡張機能 DLL のパス>

# 拡張機能の詳細を表示
.extmatch /D /e <モジュール> *

# ヘルプウィンドウの起動
.hh

# ダンプファイルとして保存
# https://learn.microsoft.com/en-us/windows-hardware/drivers/debugger/-dump--create-dump-file-
.dump [options] FileName

# ?<Hex> で 10 進数変換が可能
?ff
> Evaluate expression: 255 = 000000ff

# 以下のように演算結果を評価することも可能
?ffff-f
> Evaluate expression: 65520 = 0000fff0

# ユーザモードデバッグで現在のプロセスのステータスを表示する
|

# デバッグ中のシステムを表示する
||

# ファイルで定義したスクリプトを実行
$<C:\windbgcmd.txt

# 単一のコマンドブロックとして実行(ブレークポイントを使うならこちらの方がよい)
$><C:\windbgcmd.txt

# コマンド引数を設定(標準入力ではない)
# .echo argument is ${$arg1} などのコマンドを使う場合に使用可能
$$>a<C:\windbgcmd.txt test_text

# eax レジスタに 1234 が含まれるまで実行を続けるスクリプト eaxstep を再帰的に呼び出す
# .if (@eax == 1234) { .echo 1234 } .else { t "$<eaxstep" }
t "$<C:\\eaxstep"

# IF トークンの使用
.if (Condition) { Commands } 
.if (Condition) { Commands } .else { Commands } 
.if (Condition) { Commands } .elsif (Condition) { Commands } 
.if (Condition) { Commands } .elsif (Condition) { Commands } .else { Commands }

# $scmp は C++ の strcmp と同等の評価を行うため、文字列が一致した場合は 0 を返す
.if ($scmp("${$ImageName}","notepad.exe")) {  } .else { .echo match }

# 疑似レジスタ $t1 のアドレスが指す値を $t1 に再代入する
r $t1 = poi(@$t1)

# WinDbg の for 構文(カンマではなくセミコロンで分割)
.for (InitialCommand ; Condition ; IncrementCommands) { Commands } 

# foreach 構文
.foreach [Options] ( Variable  { InCommands } ) { OutCommands } 
.foreach [Options] /s ( Variable  "InString" ) { OutCommands } 
.foreach [Options] /f ( Variable  "InFile" ) { OutCommands } 

# 処理をループさせて実行させたい場合
.while (1) { Commands }

# 疑似レジスタを使用して for ループを実行
.for (r $t1 = 0; $t1 < 7; r $t1 = $t1 + 1) { r $t1 }

# continue で次のループにジャンプする
.for (r $t1 = 0; $t1 < 7; r $t1 = $t1 + 1) { .if ( $t1 == 3 ) { .echo skip ; .continue } ; r $t1 }

# break でループを停止する
.for (r $t1 = 0; $t1 < 7; r $t1 = $t1 + 1) { .if ( $t1 == 3 ) { .echo stop ; .break } ; r $t1 }

.logopen /t C:\Users\Public\windbg.log
.while (1) { pc;.echo rcd;dc @rcx L10;.echo rdx; dc @rdx L10;.echo r8; dc @r8 L10;.echo r9; dc @r9 L10;.echo stack; dc @rsp L10;.echo rip; u rip L1 }

Commands ; .block { Commands } ; Commands 

# 文字列や数値を定義する
as Name 10
aS Name "Test Value" ; .block { .echo Name }

# Address からヌル終端までの ASCII 文字列を定義
as /ma Name Address 

# Address からヌル終端までの Unicode 文字列を定義
as /mu Name Address 

# Address から 64bit の値を定義
as /x Name Expression 

# ファイル の内容と同等の値を定義
aS /f Name File 

# コマンド出力の値を定義
as /c Name CommandString 

# 疑似レジスタの値を出力
? $ip
? @$ip
r $ip
r @$ip

# 任意の疑似レジスタを定義する
r $t0 = 7

# 疑似レジスタを使用して、任意のアドレスのポインタを poi で参照する
r $t0 = nt!PsActiveProcessHead;r $t1 = poi(@$t0);r $t1

# 疑似レジスタで演算を行う
?? @$t0+10

# r コマンドで型を指定して疑似レジスタを定義する
r? $t15 = * (UNICODE_STRING*) 0x12ffbc

# 現在のスレッドが ntopenfile を呼び出した場合のみ処理を停止する
bp /t @$thread nt!ntopenfile

$$  Get process list LIST_ENTRY in $t0.
r $t0 = nt!PsActiveProcessHead

$$  Iterate over all processes in list.
.for (r $t1 = poi(@$t0);
      (@$t1 != 0) & (@$t1 != @$t0);
      r $t1 = poi(@$t1))
{
    r? $t2 = #CONTAINING_RECORD(@$t1, nt!_EPROCESS, ActiveProcessLinks);
    as /x Procc @$t2

    $$  Get image name into $ImageName.
    as /ma $ImageName @@c++(&@$t2->ImageFileName[0])

    .block
    {
	.if ($scmp("notepad.exe","${$ImageName}")) { } .else {.echo ${$ImageName} at ${Procc}}
    }

    ad $ImageName
    ad Procc
}

g ;p ;.if (@zf == 1) { .printf "Solver: R8 is %d\n", @r8 ; $$< C:\CTF\script.txt } .else { .echo "Fail." ; .kill }

# ユーザモードデバッグもしくはプロセスダンプの解析にて、すべてのスレッドのコールスタックをダンプ
~*k

# TEB の情報をダンプ
!teb

# ！teb で特定した TEB のアドレスを使用して構造体を出力
dt ntdll!_TEB <TEB のアドレス>

# PEB の情報をダンプ
!peb

# ！peb で特定した PEB のアドレスを使用して構造体を出力
dt ntdll!_PEB <PEB のアドレス>

# スタックバックトレースの表示(先頭の数字はフレーム番号)
# フレーム番号(n)、フレームポインタ(v)、フレームが使用しているメモリサイズ(f)を含めて表示させる
kvnf

# すべてのスレッドのスタックバックトレースの表示
~*kvnf

# 特定のスレッドのスタックバックトレースのみ表示
~1kvnf

# 現在のプロセスのすべてのスレッドのコールスタックを表示
!uniqstack

# フレーム番号を指定してローカル変数を表示
# /t は変数の型、/V はローカル変数の相対アドレスを含めて表示するオプション
.frame 01;dv
.frame 01;dv /t /V

# NT カーネル構造体の情報を列挙する
dt nt!_*
dt nt!_*interrupt*

# カーネル構造体の情報をダンプする
dt nt!_KINTERRUPT

# システム内のすべてのプロセスを列挙
!process 0 0

# 特定のプロセスの完全な詳細情報を取得
!process 0 7 notepad.exe

# 指定のプロセスの EPROCESS 構造体の情報を取得する
dt nt_EPROCESS <!process で特定した EPROCESS ブロックのアドレス>

# デバッガのコンテキストを指定のプロセスに変更する(！peb などが使えるようになる)
.process /r /P <!process で特定した EPROCESS ブロックのアドレス>

# すべてのプロセスを探索する(すべてのプロセスに対してコマンドを発行することも可能)
!for_each_process

# System プロセスの ActiveProcessLinks へのポインタアドレスを取得
r $t0 = nt!PsActiveProcessHead;r $t1 = poi(@$t0);r $t1

# ActiveProcessLinks.Flink のオフセットを参照
dt nt!_EPROCESS ActiveProcessLinks
> +0x448 ActiveProcessLinks 

# _EPROCESS をダンプ(.process 0 0 と同等の出力)
dt nt!_EPROCESS -l ActiveProcessLinks.Flink -y Ima -yoi Uni $t1-0x448

# TEB の情報を参照する
!teb <TEB のアドレス>

!handle notepad.exe

# 物理メモリの使用統計情報を出力
!memusage

# 仮想メモリの使用統計情報を出力
!vm

# 特定のプロセスの使用するメモリ領域を特定する
!address <!process で特定した EPROCESS ブロックのアドレス>

.cxr <アドレス> ; kb

# アクティブなセッションの一覧を取得
!session

# ID 1 のセッションを現在のアクティブなセッションに指定
!session -s 1

# 現在のセッション内のプロセスを列挙
!sprocess

# セッションの詳細情報を参照する
dt nt!_MM_SESSION_SPACE ffffd080ba83d000

# セッション領域のメモリ使用状況をそれぞれ出力することもできる
!vm 4

# 指定のプロセッサの KPRCB の情報を出力
!prcb <CPU 番号>

# KPCR の情報をダンプ
dt nt!_KPCR @$pcr

# プールタグ名の調査
!poolused 0 <タグ名>

# pool の調査
!pool <pool 領域のアドレス>

# pooltag から pool のアドレスを特定する(めちゃくちゃ遅いのでライブデバッグで PoolHitTag を使用して)
!poolfind -tag "<タグ名>"

# フィルタドライバの情報を列挙(fltmc コマンドでの列挙も有用)
!fltkd.filters 1

# 特定のフィルタの FLT_FILTER アドレスを指定することで、特定のフィルタの詳細情報を取得
!fltkd.filter ffffac8ce4df1010

# ここで特定した DeviceObject のアドレスを使用して詳細情報を表示
dt nt!_DRIVER_OBJECT ffffac8ce357c850
>
+0x000 Type             : 0n4
+0x030 DriverExtension  : 0xffffac8c`e357c9a0 _DRIVER_EXTENSION
+0x070 MajorFunction    : [28] 0xfffff800`65e72000     long  +fffff80065e72000

# 次に、DeviceObject 内の MajorFunction までのオフセットを特定して、MajorFunction の情報を表示
# MajorFunction のリンクをクリックしてもちかい情報が得られる
dps ffffac8ce357c850 + 0x70 L0n28

# DRIVER_EXTENSION のアドレスから構造体を調査することも可能
dt nt!_DRIVER_EXTENSION ffffac8ce357c850+0x30

# nt シンボルロード時の詳細な情報を出力
!sym noisy; .reload /f nt