- Windowsカーネルデバックの準備(Virtual PC) でカーネルデバックを開始します。
- コマンドを入れる場合にはまず、CTRL+BreakでOSを停止させます。
- レジスターの内容をみるには 以下のようにコマンドを入力してEnterを押す。kd>r
- プロセス一覧をみるには以下のようにコマンドを入力してEnterを押す。kd>!process 0 0
よく使うコマンド
| カテゴリ | 概要 | コマンド(kd>) |
| 基本(basic) | コマンドHelp (Command help) | ? |
| OSを止める (Stop OS) | ctrl+Brake | |
| OSを起動する (Start OS) | g | |
| レジスタ | レジスタ内容確認 | r |
| プロセス | プロセス一覧 | !process 0 0 |
| プロセスアタッチ | .process /r /p “アドレス” | |
| プロセス環境ブロック(PEB) | dt nt!_PEB -r @$peb | |
| モジュール | モジュールの一覧 | lm |
| モジュールの一覧(マークアップ付) | lmD | |
| モジュールの詳細表示 | lm vm ntdll | |
| アドレス一覧取得 | !address | |
| 関数一覧 | dt nt!_PEB | |
| dt ntdll!_PEB | ||
| dt nt!_PEB -r @$peb | ||
| dt nt!_TEB | ||
| ブレークポイント | ブレイクポイント設定 | bp モジュール名!関数名+アドレス |
| ブレイクポイント無効化 | bd ブレイクポイント番号 | |
| ブレイクポイント消去 | bc ブレイクポイント番号 | |
| ブレイクポイント一覧 | bl | |
| メモリ | メモリ表示(ダブルワード) | dd |
| メモリ表示(Ascii文字) | da | |
| メモリ表示(UNICODE) | du | |
| メモリ内容とシンボル | dds | |
| メモリ内容とシンボルと既知のシンボル | ddp | |
| その他 | トレースしている場所 | t |
| 逆アセンブル | u “アドレス” | |
| カレントスレッドのコールスタック | K | |
| ヒープヘルプ | !heap -? |
コメントを残す