Windbg：命令了解学习二

lm

lmv

概述

1. 是 lm命令的详细模式，用于显示所有已加载模块的完整信息，包括：
   1. 模块基地址（Start/End）：模块在内存中的起始和结束地址
   2. 模块路径（Image path）：文件在磁盘中的完整路径
   3. 符号状态（Symbols）：如 Loaded（符号已加载）、Deferred（延迟加载）、Export（仅导出表符号）
   4. 时间戳（Timestamp）：编译时间，用于验证符号文件（PDB）是否匹配
   5. 校验码（Checksum）：文件完整性验证
   6. 文件版本（File version）：如 10.0.19041.1234

lmv m test

1. 用于筛选指定模块，支持通配符（*）匹配：

lmi

1. 比 lm命令更全面的模块元数据

ln

概述

1. 用于查找指定地址附近的符号信息的关键命令，尤其在调试崩溃、分析内存布局时至关重要

地址-符号

1. 输入一个地址（如崩溃点），会显示该地址前后最接近的符号（函数名、全局变量等），帮助定位代码位置，示例如下：
   1. 表示 0x00401000位于 main函数内，下一符号是 helper_function

2. 示例2：
   1. 地址 0x7158da对应源码的第 147 行，属于函数 CMultiTabWebWnd::NavigateUrl的代码逻辑范围
   2. 007157b0：函数 NavigateUrl的起始地址
   3. +0x12a：当前地址 0x7158da距离函数起始的偏移量（0x7158da - 0x7157b0 = 0x12a）
   4. (00715ae0) birdwp!CMultiTabWebWnd::OnBtnClose：当前地址的下一个相邻符号是函数 OnBtnClose，起始地址为 0x715ae0

!dh

概述

1. 用于显示指定模块的 PE（Portable Executable）文件头信息，包括文件头（File Header）、可选头（Optional Header）、节区头（Section Headers）及目录表（Data Directories）

参数

1. -f：仅显示文件头（File Header）
2. -s：仅显示节区头（Section Headers）
3. -a：显示所有头信息（默认行为）

文件头FILE HEADER VALUES

可选头OPTIONAL HEADER VALUES

节区头SECTION HEADER

1. 常见权限标志
   1. 60000020：代码段（可执行、可读）
   2. C0000040：数据段（可读、可写）
   3. 40000040：资源段（只读

目录表DATA DIRECTORIES

1. 作用
   1. 定位关键数据结构（如分析 DLL 导出函数或依赖项）

对比lmi

1. !dh：输出完整 PE 头信息，适合深度分析
2. !lmi：仅显示模块摘要（路径、版本、时间戳），适合快速验证