windbg 基本知识

1. 元命令：以.开头的命令。eg:.reload
 2. 扩展命令：以！开头的命令。eg：!lmi

进程线程限定符

观察模块信息

lm
 1. m：指定模块名的过滤模式。eg：lm m k* 以k开头的模块
 2. M：指定模块路径的过滤模式
 3. o：只显示加载的模块
 4. l：只显示已经加载符号的模块
 5. e:死按时有符号问题的模块

分析符号

x [Options] 模块名!符号名

 1. /a or /A 按照地址升序或者降序
 2. /n or /N 按照名称升序或者降序
 3. /z or /Z 按照符号大小升序或者降序
 4. /t 显示符号或者数据类型
 5. /v 显示符号类型（local，global，parameter，function，unknown）和大小
 6. /s<符号大小> 按大小设置过滤条件。函数类符号大小是在内存中占的带下，其他符号是数据类型的大小。
 7. /p 控制显示格式

eg：查看ntdll模块所有dbg开头的符号(包括函数和变量)
x ntdll!dbg*