Windbg命令的语法规则系列(一)

本文介绍使用调试器命令必须遵循的语法规则。使用Windbg调试时，应遵守以下一般语法规则：

您可以在命令和参数中使用大小写字母的任意组合，除非在本节的主题中特别指出。
可以用一个或多个空格或逗号（，）分隔多个命令参数。
通常可以省略命令与其第一个参数之间的空格。如果这种省略不会造成任何歧义，则可以经常省略其他空格。

阅读本文中的命令引用注意以下事项：

粗体字体的字符表示必须逐字键入的项目。
斜体字体的字符表示参考主题“参数”部分中解释的参数。
括号（[xxx]）中的参数是可选的。带有竖线（[XXX|YYY]）的括号表示可以使用一个或无一个封闭参数。
带竖线（XXX|YYY）的大括号表示必须仅使用其中一个封闭参数。

一、数字表达式

调试器接受两个不同类型的数值表达式：C++表达式和MASM 表达式。每个这些表达式遵循用于输入和输出自己语法规则。

1.1、MASM 数字和运算符

在Windows包的4.0版调试工具之前，ntsd、cdb、kd和windbg仅使用Microsoft宏汇编程序（masm）表达式语法。

MASM表达式中的数字

在masm表达式中我们可以输入二进制、八进制、十进制、十六进制数字。使用n（设置基数）命令将默认基数设置为16、10或8。所有未固定的数字都将在此基数中解释。可以通过指定0x前缀（十六进制）、0n前缀（十进制）、0t前缀（八进制）或0y前缀（二进制）来重写默认基数。您还可以通过在数字后面添加h来指定十六进制数字。您可以在数字中使用大写或小写字母。例如，“0x4ab3”、“0x4ab3”、“4ab3h”、“4ab3h”和“4ab3h”具有相同的含义。如果不在表达式的前缀后面添加数字，则该数字将被读取为0。因此，您可以将0写为0，前缀后跟0，并且只写前缀。例如，在十六进制中，“0”、“0x0”和“0x”具有相同的含义。您可以以XXXXXXXX`XXXXXXXX格式输入十六进制64位值。
MASM表达式中的符号

在masm表达式中，任何符号的数值都是其内存地址。根据符号所指的内容，此地址是全局变量、局部变量、函数、段、模块或任何其他可识别标签的地址。要指定与地址关联的模块，请包括模块名称和感叹号（！）在符号名称之前。如果符号可以解释为十六进制数，请在符号名之前包含模块名和感叹号，或仅包含感叹号。使用两个冒号（：）或两个下划线（_）指示类的成员。只有在符号名称前面添加模块名称和感叹号时，才能在符号名称中使用重音符（`）或撇号（'）。

MASM表达式中的数字运算符

可以使用一元运算符修改表达式的任何组件。您可以使用二进制运算符组合任意两个组件。一元运算符优先于二元运算符。使用多个二进制运算符时，运算符遵循下表中描述的固定优先级规则。您可以始终使用括号来覆盖优先规则。如果一个MASM表达式的一部分被括在括号中，并且在表达式之前出现两个符号（@），则表达式根据C++表达式规则进行解释。不能在两个at符号和左括号之间添加空格。还可以使用@ @ C++（…）指定表达式计算器。或@@masm（…）.执行算术计算时，MASM表达式计算器将所有数字和符号视为ulong64类型。一元地址运算符将ds作为地址的默认段。表达式按运算符优先顺序计算。如果相邻运算符的优先级相等，则表达式将从左到右进行计算。
可以使用以下一元运算符:

运算符	含义
+	一元加
-	一元负
非	如果参数为零，则返回 1。任何非零值的参数，则返回零。
hi	高 16 位
low	低 16 位
by	从指定的地址的低序位字节。
$pby	与相同通过，但前者的物理地址。可以读取仅使用默认缓存行为的物理内存。
wo	从指定的地址的低序位字。
$pwo	与相同wo ，但前者的物理地址。可以读取仅使用默认缓存行为的物理内存。
dwo	从指定的地址双字。
$pdwo	与相同dwo ，但前者的物理地址。可以读取仅使用默认缓存行为的物理内存。
qwo	从指定的地址四字。
$pqwo	与相同qwo ，但前者的物理地址。可以读取仅使用默认缓存行为的物理内存。
poi	从指定的地址指针大小的数据。指针大小为 32 位或 64 位。在内核调试，此大小基于的处理器目标计算机。在用户模式下调试在基于 Itanium 的计算机上，此大小为 32 位或 64 位，具体取决于目标应用程序。因此， poi是要使用如果你想指针大小的数据的最佳运算符。
$ppoi	与相同poi ，但前者的物理地址。可以读取仅使用默认缓存行为的物理内存。

可以使用以下二进制运算符。每个单元格中的运算符优先于较小的单元中。相同单元中的运算符均属于相同的优先级，从左到右进行分析。

运算符	含义
* / mod （或 %）	乘法整数除法取模（余数）
+ -	添加减法
<< >> >>>	左的移逻辑右移位算术右移位运算
= （或 = =） < > <= >= !=	等于小于大于小于或等于大于或等于不等于
和(或 &)	位与
xor (或 ^)	按位 XOR （异或）
或(或 \|)	按位 OR 运算符

<， >、 =、 = =、和！ = 的比较运算符计算结果为 1，如果表达式为 true 或为零，如果表达式为 false。单个等号（=）是双等号（= =）相同。不能使用副作用或 MASM 表达式中的分配。在"操作数错误"中无效的操作（如被零除）结果返回到调试器命令窗口。

MASM表达式中的非数字运算符

此外可以在 MASM 表达式中使用以下其他运算符。

运算符	含义
$fnsucc(FnAddress, RetVal, Flag)	解释RetVal位于函数的返回值的值FnAddress地址。如果此返回值被返回成功代码，称为$fnsucc返回TRUE。否则为$fnsucc返回FALSE。如果返回类型为布尔值、 bool、句柄、 HRESULT 或 NTSTATUS， $fnsucc正确理解是否在指定的返回值被称为成功代码。返回类型是否为指针，所有值，而NULL才会被视为成功代码。成功的值对于任何其他类型进行定义标志。如果标志为 0，一个非零值的RetVal为 success。如果标志为 1，零值的RetVal为 success。
$iment (地址)	加载的模块列表中返回映像入口点的地址。地址指定的可移植可执行文件 (PE) 映像基址。通过查找映像的 PE 映像标头中的映像入口点找到该项，地址指定。您可以使用此函数的是已在模块列表中，并设置这两个模块无法解析的断点通过使用bu命令。
$scmp("String1", "String2")	计算结果为-1、 0 或 1，如strcmp C 函数。
$sicmp("String1", "String2")	计算结果为-1、 0 或 1，如stricmp Microsoft Win32 函数。
$spat("String", "Pattern")	计算结果为，则返回 TRUE或FALSE取决于是否字符串匹配模式。匹配不区分大小写。模式可以包含各种通配符和说明符。有关语法的详细信息，请参阅字符串通配符语法。
$vvalid(Address, Length)	确定是否内存范围的开始处地址，并为扩展长度字节是否有效。如果有效，内存$vvalid的计算结果为 1。如果内存是无效的$vvalid计算结果为 0。

MASM表达式中的寄存器和伪寄存器

您可以在masm表达式中使用寄存器和伪寄存器。您可以在所有寄存器和伪寄存器之前添加at符号（@）。at符号使调试器更快地访问该值。对于最常见的基于x86的寄存器来说，这个at符号是不必要的。对于其他寄存器和伪寄存器，我们建议您添加at符号，但实际上并不需要它。如果省略了较不常用的寄存器的at符号，调试器将尝试将文本解析为十六进制数，然后作为符号，最后作为寄存器。还可以使用句点（.）指示当前指令指针。在此期间之前不应添加at符号，并且不能将期间用作r命令的第一个参数。此期间的含义与$IP伪寄存器相同。
MASM表达式中的源行号
可以在masm表达式中使用源文件和行号表达式。必须使用重音符（`）将这些表达式括起来。

1.2、C++数字和运算符

Windbg中的C++表达式解析器支持所有形式的C++表达式语法。该语法包括所有数据类型（包括指针、浮点数和数组）和所有C++一元和二元运算符。

C++表达式中的数字
C++表达式中的数字被解释为十进制数，除非用另一种方式指定它们。要指定十六进制整数，请在数字前面添加0x。要指定一个八进制整数，请在数字前面加0（零）。默认调试器基数不影响您输入C++表达式的方式。不能直接输入二进制数（除非在C++表达式中嵌套了一个MASM表达式）。您可以以XXXXXXX`XXXXXXXXX格式输入一个十六进制的64位值。（您也可以省略重音符（'.））两种格式产生相同的值。可以使用带整数值的L、U和I64后缀。创建的数字的实际大小取决于后缀和输入的数字。有关此解释的更多信息，请参见C++语言引用。C++表达式计算器的输出保持C++表达式规则指定的数据类型。但是，如果将此表达式用作命令的参数，则始终进行强制转换。例如，当整数值用作命令参数中的地址时，不必向指针强制转换整数值。如果表达式的值不能有效地转换为整数或指针，则会出现语法错误。对于某些输出，可以使用0N（十进制）前缀，但不能将其用于C++表达式输入。
C++表达式中的字符和字符串
您可以通过将字符用单引号（“）包围来输入字符。标准的C++转义字符是允许的。您可以通过将字符串文本用双引号（“）包围来输入字符串文本。您可以在这样的字符串中使用“作为转义序列。但是，字符串对表达式计算器没有意义。
C++表达式中的符号

在C++表达式中，每个符号根据其类型来解释。根据符号所指的内容，可以将其解释为整数、数据结构、函数指针或任何其他数据类型。如果在C++表达式中使用与C++数据类型（如未修改的模块名）不符的符号，则会出现语法错误。如果符号可能不明确，可以添加模块名和感叹号（！）或者只在符号前加一个感叹号。只有在符号名称前添加模块名称和感叹号，才能在符号名称中使用重音符（`）或撇号（“）。在模板名称后面添加分隔符时，可以在这些分隔符之间添加空格。

C++表达式中的运算符

您可以始终使用括号来覆盖优先规则。如果在括号中包含一部分C++表达式，并在表达式之前加上两个符号（@），则根据MASM表达式规则对表达式进行解释。不能在两个at符号和左括号之间添加空格。此表达式的最终值作为ULUN64值传递给C++表达式求值器。还可以使用@ @ C++（…）指定表达式计算器。或@@masm（…）.数据类型通常以C++语言表示。指示数组（[]）、指针成员（->）和UDT成员（.）的符号。和类（：：）的成员都可以识别。支持所有算术运算符，包括赋值和副作用运算符。但是，不能使用new、delete和throw运算符，也不能实际调用函数。支持指针算法并正确缩放偏移量。请注意，不能向函数指针添加偏移量。（如果必须向函数指针添加偏移量，请先将偏移量强制转换为字符指针。）与C++一样，如果使用具有无效数据类型的运算符，则会发生语法错误。调试器的C++表达式分析器使用的规则比大多数C++编译器稍微宽松一些，但是所有的主要规则都被强制执行。例如，不能移动非整数值。可以使用以下运算符。每个单元格中的运算符优先于较低单元格中的运算符。同一单元格中的运算符具有相同的优先级，并从左到右进行分析。与C++一样，表达式评估在其值已知时结束。这个结尾使您能够有效地使用表达式，例如？？myptr和&*myptr。

运算符	含义
表达式 // 注释	忽略所有后续文本
类 ::成员类 :: ~成员 ::名称	类的成员类（析构函数）的成员全局
结构。字段指针 - > 字段 Name [integer] LValue ++ LValue -- dynamic_cast <type>(Value) static_cast <type>(Value) reinterpret_cast <type>(Value) const_cast <type>(Value)	结构中的字段引用结构中的字段数组下标增量（之后评估版）递减（后评估版）类型转换（始终执行）类型转换（始终执行）类型转换（始终执行）类型转换（始终执行）
(type) Value sizeof value sizeof( type ) ++ 左值 -- 左值 ~ 值 ! ReplTest1 ReplTest1 + 值 & 左值值	类型转换（始终执行）表达式的大小数据类型的大小增量（之前评估版）递减（在之前评估版）位求补不（布尔值）一元负一元加数据类型的地址取消引用
结构。指针 Pointer -> * Pointer	指向成员的结构的指针指向引用结构成员的指针
Value Value Value / Value Value % Value	乘法部门取模
Value + Value Value - Value	添加减法
Value << Value Value >> Value	按位左移按位右移
Value < Value Value <= Value Value > Value Value >= Value	早于（比较）小于或等于（比较）大于（比较）大于或等于（比较）
Value == Value Value != Value	等于（比较）不等于（比较）
Value & Value	位与
Value ^ Value	按位 XOR （异或）
Value \| Value	按位 OR 运算符
Value && Value	逻辑与
Value \|\| Value	逻辑或
LValue =Value LValue = Value LValue /= Value LValue %=Value LValue +=Value LValue -= Value LValue <<= Value LValue >>= Value LValue &= Value LValue \|= Value LValue ^= Value	分配乘并赋值相除并赋值取模和分配添加和分配相减并赋值左移位，并将分配右移位和分配和分配或和分配 XOR 并赋值
值？值 :值	条件评估
值，值	评估所有值，然后丢弃最右侧的值之外的所有

表达式 // 注释

忽略所有后续文本

类 ::成员

类 :: ~成员

::名称

类的成员

类（析构函数）的成员

全局

结构。字段

指针 - > 字段

Name [integer]

LValue ++

LValue --

dynamic_cast <type>(Value)

static_cast <type>(Value)

reinterpret_cast <type>(Value)

const_cast <type>(Value)

结构中的字段

引用结构中的字段

数组下标

增量（之后评估版）

递减（后评估版）

类型转换（始终执行）

(type) Value

sizeof value

sizeof( type )

++ 左值

-- 左值

~ 值

! ReplTest1

ReplTest1

+ 值

& 左值

值

类型转换（始终执行）

表达式的大小

数据类型的大小

增量（之前评估版）

递减（在之前评估版）

位求补

不（布尔值）

一元负

一元加

数据类型的地址

取消引用

结构。指针

Pointer -> * Pointer

指向成员的结构的指针

指向引用结构成员的指针

Value Value

Value / Value

Value % Value

乘法

部门

取模

Value + Value

Value - Value

添加

减法

Value << Value

Value >> Value

按位左移

按位右移

Value < Value

Value <= Value

Value > Value

Value >= Value

早于（比较）

小于或等于（比较）

大于（比较）

大于或等于（比较）

Value == Value

Value != Value

等于（比较）

不等于（比较）

Value & Value

位与

Value ^ Value

按位 XOR （异或）

Value | Value

按位 OR 运算符

Value && Value

逻辑与

Value || Value

逻辑或

LValue =Value

LValue = Value

LValue /= Value

LValue %=Value

LValue +=Value

LValue -= Value

LValue <<= Value

LValue >>= Value

LValue &= Value

LValue |= Value

LValue ^= Value

分配

乘并赋值

相除并赋值

取模和分配

添加和分配

相减并赋值

左移位，并将分配

右移位和分配

和分配

或和分配

XOR 并赋值

值？值 :值

条件评估

值，值

评估所有值，然后丢弃最右侧的值之外的所有

C++语言中的寄存器和伪寄存器

可以在C++表达式中使用寄存器和伪寄存器。必须在寄存器或伪寄存器之前添加at符号（@）。表达式计算器自动执行正确的强制转换。实际寄存器和整数值伪寄存器被转换为ulong64。所有地址都转换为puchar，$thread转换为ethread*，$proc转换为eprocess*，$teb转换为teb*，$peb转换为peb*。不能通过赋值或副作用运算符更改寄存器或伪寄存器。必须使用r（寄存器）命令更改这些值。

C++表达式中的宏
可以在C++表达式中使用宏。必须在宏之前添加数字符号（#）。可以使用以下宏。这些宏与具有相同名称的Microsoft Windows宏具有相同的定义。（Windows宏在winnt.h中定义。）

宏	返回值
#CONTAINING_RECORD (地址，类型，字段)	返回给定类型的结构和结构中的字段的地址结构的实例的基址。
#FIELD_OFFSET (类型，字段)	返回命名的字段的字节偏移量中的已知的结构类型。
#RTL_CONTAINS_FIELD (Struct，大小，字段)	指示给定的字节大小是否包括所需的字段。
#RTL_FIELD_SIZE(Type, Field)	而无需字段的类型返回已知类型的结构中的字段的大小。
#RTL_NUMBER_OF(Array)	以静态方式调整大小的数组中返回元素的数。
#RTL_SIZEOF_THROUGH_FIELD(Type, Field)	通过和包括在指定的字段会返回已知类型的结构的大小。