Introdução ao WinDbg (modo de usuário)

WinDbg é um depurador de modo kernel e modo de usuário que está incluído nas Ferramentas de depuração para Windows. Os exercícios práticos a seguir podem ajudar você a começar a usar o WinDbg como um depurador de modo de usuário.

Para obter informações sobre como conseguir as Ferramentas de depuração para Windows, consulte Baixar e instalar o depurador do Windows WinDbg.

Depois de instalar as ferramentas de depuração, localize os diretórios de instalação para as versões de 64 bits (x64) e 32 bits (x86) das ferramentas. Por exemplo:

  • C:\Program Files (x86)\Windows Kits\10\Debuggers\x64
  • C:\Program Files (x86)\Windows Kits\10\Debuggers\x86

Abra o Bloco de Notas e anexe o WinDbg

  1. Vá para o diretório de instalação e abra WinDbg.exe.

  2. No menu Arquivo, selecione Iniciar Executável. Na caixa de diálogo Iniciar Executável, vá para a pasta que contém notepad.exe. (O arquivo notepad.exe geralmente está em C:\Windows\System32.) Em Nome do arquivo, digite notepad.exe. Selecione Abrir.

    Screenshot of WinDbg with Notepad open.

  3. Na linha de comando próxima à parte inferior da janela do WinDbg, digite este comando:

    .sympath srv*

    A saída é semelhante a este exemplo:

    Symbol search path is: srv*
    Expanded Symbol search path is: cache*;SRV
    

    O caminho de pesquisa de símbolo informa ao WinDbg onde procurar arquivos de símbolo (PDB). O depurador precisa de arquivos de símbolo para obter informações sobre módulos de código, como nomes de funções e nomes de variáveis.

    Em seguida, insira este comando:

    .reload

    O comando .reload diz ao WinDbg para fazer sua pesquisa inicial para localizar e carregar arquivos de símbolo.

  4. Para ver os símbolos do módulo notepad.exe, digite este comando:

    x notepad!*

    Observação

    Se nenhuma saída for exibida, digite .reload /f para tentar forçar a carregamento do símbolo. Use !sym noisy para exibir informações adicionais de carregamento de símbolos.

    Para ver os símbolos no módulo notepad.exe que contêm main, use o comando examine symbols para listar os módulos que correspondem à máscara:

    x notepad!wWin*

    A saída é semelhante a este exemplo:

    00007ff6`6e76b0a0 notepad!wWinMain (wWinMain)
    00007ff6`6e783db0 notepad!wWinMainCRTStartup (wWinMainCRTStartup)
    
  5. Para colocar um ponto de interrupção no notepad!wWinMain, digite este comando:

    bu notepad!wWinMain

    Para verificar se o ponto de interrupção foi definido, digite este comando:

    bl

    A saída é semelhante a este exemplo:

    0 e Disable Clear  00007ff6`6e76b0a0     0001 (0001)  0:**** notepad!wWinMain
    
  6. Para iniciar o processo do Bloco de Notas, digite este comando:

    g

    O Bloco de Notas é executado até chegar à função WinMain e, então, interrompe o depurador.

    Breakpoint 0 hit
    notepad!wWinMain:
    00007ff6`6e76b0a0 488bc4          mov     rax,rsp
    

    Para ver uma lista de módulos de código que estão atualmente carregados no processo do Bloco de Notas, digite este comando:

    lm

    A saída é semelhante a este exemplo:

    0:000> lm
    start             end                 module name
    00007ff6`6e760000 00007ff6`6e798000   notepad    (pdb symbols)          C:\ProgramData\Dbg\sym\notepad.pdb\BC04D9A431EDE299D4625AD6201C8A4A1\notepad.pdb
    00007ff8`066a0000 00007ff8`067ab000   gdi32full   (deferred)             
    00007ff8`067b0000 00007ff8`068b0000   ucrtbase   (deferred)             
    00007ff8`06a10000 00007ff8`06aad000   msvcp_win   (deferred)             
    00007ff8`06ab0000 00007ff8`06ad2000   win32u     (deferred)             
    00007ff8`06b40000 00007ff8`06e08000   KERNELBASE   (deferred)             
    00007ff8`07220000 00007ff8`072dd000   KERNEL32   (deferred)             
    00007ff8`07420000 00007ff8`07775000   combase    (deferred)             
    00007ff8`07820000 00007ff8`079c0000   USER32     (deferred)             
    00007ff8`079c0000 00007ff8`079f0000   IMM32      (deferred)             
    00007ff8`07c00000 00007ff8`07c2a000   GDI32      (deferred)             
    00007ff8`08480000 00007ff8`085ab000   RPCRT4     (deferred)             
    00007ff8`085b0000 00007ff8`0864e000   msvcrt     (deferred)             
    00007ff8`08c40000 00007ff8`08cee000   shcore     (deferred)             
    00007ff8`08db0000 00007ff8`08fa5000   ntdll      (pdb symbols)          C:\ProgramData\Dbg\sym\ntdll.pdb\53F12BFE149A2F50205C8D5D66290B481\ntdll.pdb
    00007fff`f8580000 00007fff`f881a000   COMCTL32   (deferred)    
    

    Para ver um rastreamento de pilha, digite este comando:

    k

    A saída é semelhante a este exemplo:

    0:000> k
    00 000000c8`2647f708 00007ff6`6e783d36     notepad!wWinMain
    01 000000c8`2647f710 00007ff8`07237034     notepad!__scrt_common_main_seh+0x106
    02 000000c8`2647f750 00007ff8`08e02651     KERNEL32!BaseThreadInitThunk+0x14
    03 000000c8`2647f780 00000000`00000000     ntdll!RtlUserThreadStart+0x21
    
  7. Para iniciar a execução do Bloco de Notas novamente, digite este comando:

    g

  8. Para entrar no Bloco de Notas, no menu Arquivo, selecione Interromper.

  9. Para definir e verificar um ponto de interrupção no ZwWriteFile, digite estes comandos:

    bu ntdll!ZwWriteFile

    bl

  10. Para iniciar a execução do Bloco de Notas novamente, digite g. Na janela do Bloco de Notas, digite texto. No menu Arquivo, selecione Salvar. O código em execução entra em cena quando se trata de ZwCreateFile. Digite o comando k para ver o rastreamento da pilha.

    Screenshot of a stack trace in WinDbg.

    Na janela WinDbg, à esquerda da linha de comando, os números do processador e do thread são mostrados. Neste exemplo, o número do processador atual é 0, e o número do thread atual é 11 (0:011>). A janela exibe o rastreamento de pilha para o thread 11 em execução no processador 0.

  11. Para ver uma lista de todos os threads no processo do Bloco de Notas, digite este comando (o til):

    ~

    A saída é semelhante a este exemplo:

    0:011> ~
       0  Id: 5500.34d8 Suspend: 1 Teb: 000000c8`262c4000 Unfrozen
       1  Id: 5500.3960 Suspend: 1 Teb: 000000c8`262c6000 Unfrozen
        2  Id: 5500.5d68 Suspend: 1 Teb: 000000c8`262c8000 Unfrozen
        3  Id: 5500.4c90 Suspend: 1 Teb: 000000c8`262ca000 Unfrozen
        4  Id: 5500.4ac4 Suspend: 1 Teb: 000000c8`262cc000 Unfrozen
        5  Id: 5500.293c Suspend: 1 Teb: 000000c8`262ce000 Unfrozen
        6  Id: 5500.53a0 Suspend: 1 Teb: 000000c8`262d0000 Unfrozen
        7  Id: 5500.3ca4 Suspend: 1 Teb: 000000c8`262d4000 Unfrozen
        8  Id: 5500.808 Suspend: 1 Teb: 000000c8`262da000 Unfrozen
       10  Id: 5500.3940 Suspend: 1 Teb: 000000c8`262dc000 Unfrozen
     . 11  Id: 5500.28b0 Suspend: 1 Teb: 000000c8`262de000 Unfrozen
       12  Id: 5500.12bc Suspend: 1 Teb: 000000c8`262e0000 Unfrozen
       13  Id: 5500.4c34 Suspend: 1 Teb: 000000c8`262e2000 Unfrozen
    

    Neste exemplo, 14 threads têm índices de 0 a 13.

  12. Para examinar o rastreamento de pilha para o thread 0, digite estes comandos:

    ~0s

    k

    A saída é semelhante a este exemplo:

    0:011> ~0s
    0:011> ~0s
    win32u!NtUserGetProp+0x14:
    00007ff8`06ab1204 c3              ret
    0:000> k
     # Child-SP          RetAddr               Call Site
    00 000000c8`2647bd08 00007ff8`07829fe1     win32u!NtUserGetProp+0x14
    01 000000c8`2647bd10 00007fff`f86099be     USER32!GetPropW+0xd1
    02 000000c8`2647bd40 00007ff8`07d12f4d     COMCTL32!DefSubclassProc+0x4e
    03 000000c8`2647bd90 00007fff`f8609aba     SHELL32!CAutoComplete::_EditWndProc+0xb1
    04 000000c8`2647bde0 00007fff`f86098b7     COMCTL32!CallNextSubclassProc+0x9a
    05 000000c8`2647be60 00007ff8`0782e858     COMCTL32!MasterSubclassProc+0xa7
    06 000000c8`2647bf00 00007ff8`0782de1b     USER32!UserCallWinProcCheckWow+0x2f8
    07 000000c8`2647c090 00007ff8`0782d68a     USER32!SendMessageWorker+0x70b
    08 000000c8`2647c130 00007ff8`07afa4db     USER32!SendMessageW+0xda
    
  13. Para sair da depuração e desanexar-se do processo do Bloco de Notas, digite este comando:

    qd

Abra seu próprio aplicativo e anexe o WinDbg

Por exemplo, suponha que você tenha escrito e criado este pequeno aplicativo de console:

...
void MyFunction(long p1, long p2, long p3)
{
    long x = p1 + p2 + p3;
    long y = 0;
    y = x / p2;
}

void main ()
{
    long a = 2;
    long b = 0;
    MyFunction(a, b, 5);
}

Para este exercício, suponha que o aplicativo criado (MyApp.exe) e o arquivo de símbolo (MyApp.pdb) estejam em C:\MyApp\x64\Debug. Suponha também que o código-fonte do aplicativo esteja em C:\MyApp\MyApp e que a máquina de destino tenha compilado MyApp.exe.

  1. Abra o WinDbg.

  2. No menu Arquivo, selecione Iniciar Executável. Na caixa de diálogo Iniciar Executável, vá para C:\MyApp\x64\Debug. Em Nome do arquivo, insira MyApp.exe. Selecione Abrir.

  3. Insira estes comandos:

    .symfix

    .sympath+ C:\MyApp\x64\Debug

    Os comandos informam ao WinDbg onde encontrar os símbolos e o código-fonte para seu aplicativo. Nesse caso, o local do código-fonte não precisa ser definido usando-se .srcpath, pois os símbolos têm caminhos totalmente qualificados para os arquivos de origem.

  4. Insira estes comandos:

    .reload

    bu MyApp!main

    g

    Seu aplicativo interrompe o depurador quando se trata da função main.

    O WinDbg exibe o código-fonte e a janela de comando.

    Screenshot of source code displayed in WinDbg.

  5. No menu Depurar, selecione Intervir (ou selecione F11). Continue a intervenção até entrar no MyFunction. Quando você entra na linha y = x / p2, seu aplicativo falha e interrompe o depurador.

    A saída é semelhante a este exemplo:

    (1450.1424): Integer divide-by-zero - code c0000094 (first chance)
    First chance exceptions are reported before any exception handling.
    This exception may be expected and handled.
    MyApp!MyFunction+0x44:
    00007ff6`3be11064 f77c2428    idiv  eax,dword ptr [rsp+28h] ss:00000063`2036f808=00000000
    
  6. Insira este comando:

    !analyze -v

    O WinDbg exibe uma análise do problema (no caso, divisão por 0).

    FAULTING_IP:
    MyApp!MyFunction+44 [c:\myapp\myapp\myapp.cpp @ 7]
    00007ff6`3be11064 f77c2428        idiv    eax,dword ptr [rsp+28h]
    
    EXCEPTION_RECORD:  ffffffffffffffff -- (.exr 0xffffffffffffffff)
    ExceptionAddress: 00007ff63be11064 (MyApp!MyFunction+0x0000000000000044)
       ExceptionCode: c0000094 (Integer divide-by-zero)
      ExceptionFlags: 00000000
    NumberParameters: 0
    ...
    STACK_TEXT:  
    00000063`2036f7e0 00007ff6`3be110b8 : ... : MyApp!MyFunction+0x44
    00000063`2036f800 00007ff6`3be1141d : ... : MyApp!main+0x38
    00000063`2036f840 00007ff6`3be1154e : ... : MyApp!__tmainCRTStartup+0x19d
    00000063`2036f8b0 00007ffc`b1cf16ad : ... : MyApp!mainCRTStartup+0xe
    00000063`2036f8e0 00007ffc`b1fc4629 : ... : KERNEL32!BaseThreadInitThunk+0xd
    00000063`2036f910 00000000`00000000 : ... : ntdll!RtlUserThreadStart+0x1d
    
    STACK_COMMAND: dt ntdll!LdrpLastDllInitializer BaseDllName ;dt ntdll!LdrpFailureData ;.cxr 0x0 ;kb
    
    FOLLOWUP_IP:
    MyApp!MyFunction+44 [c:\myapp\myapp\myapp.cpp @ 7]
    00007ff6`3be11064 f77c2428        idiv    eax,dword ptr [rsp+28h]
    
    FAULTING_SOURCE_LINE:  c:\myapp\myapp\myapp.cpp
    
    FAULTING_SOURCE_FILE:  c:\myapp\myapp\myapp.cpp
    
    FAULTING_SOURCE_LINE_NUMBER:  7
    
    FAULTING_SOURCE_CODE:  
         3: void MyFunction(long p1, long p2, long p3)
         4: {
         5:     long x = p1 + p2 + p3;
         6:     long y = 0;
    >    7:  y = x / p2;
         8: }
         9:
        10: void main ()
        11: {
        12:     long a = 2;
    ...
    

Resumo dos comandos

Confira também

Introdução ao WinDbg (modo kernel)

Operação do depurador

Técnicas de depuração

Baixar e instalar o depurador do Windows WinDbg

Recursos do WinDbg