Debugging Tools for Windows 
k, kb, kc, kd, kp, kP, kv (Display Stack Backtrace)
The k* commands display the stack frame of the given thread, together with related information..

Syntax
User-Mode

[~Thread] k[b|p|P|v] [c] [n] [f] [L] [FrameCount] 
[~Thread] k[b|p|P|v] [c] [n] [f] [L] = BasePtr [FrameCount] 
[~Thread] k[b|p|P|v] [c] [n] [f] [L] = BasePtr StackPtr InstructionPtr 
[~Thread] kd [WordCount] 



Kernel-Mode

[Processor] k[b|p|P|v] [c] [n] [f] [L] [FrameCount] 
[Processor] k[b|p|P|v] [c] [n] [f] [L] = BasePtr [FrameCount] 
[Processor] k[b|p|P|v] [c] [n] [f] [L] = BasePtr StackPtr InstructionPtr 
[Processor] kd [WordCount] 





Parameters
Thread 
Specifies the thread whose stack is to be displayed. If you omit this parameter, the stack of the current thread is displayed. For more information about thread syntax, see Thread Syntax. You can specify threads only in user mode. 
Processor 
Specifies the processor whose stack is to be displayed. For more information about processor syntax, see Multiprocessor Syntax. You can specify processors only in kernel mode. 
b 
Displays the first three parameters that are passed to each function in the stack trace. 
c 
Displays a clean stack trace. Each display line includes only the module name and the function name. 
p 
Displays all of the parameters for each function that is called in the stack trace. The parameter list includes each parameter's data type, name, and value. The p option is case sensitive. This parameter requires full symbol information. 
P 
Displays all of the parameters for each function that is called in the stack trace, like the p parameter. However, for P, the function parameters are printed on a second line of the display, instead of on the same line as the rest of the data. 
v 
Displays frame pointer omission (FPO) information. On x86-based processors, the display also includes calling convention information. 
n 
Displays frame numbers. 
f 
Displays the distance between adjacent frames. This distance is the number of bytes that separate the frames on the actual stack. 
L 
Hides source lines in the display. L is case sensitive. 
FrameCount 
Specifies the number of stack frames to display. You should specify this number in hexadecimal format, unless you have changed the radix by using the n (Set Number Base) command. The default value is 20 (0x14), unless you have changed the default value by using the .kframes (Set Stack Length) command. 
BasePtr 
Specifies the base pointer for the stack trace. The BasePtr parameter is available only if there is an equal sign (=) after the command. On an x86-based processor, you can add one more parameter after BasePtr (which is interpreted as the FrameCount parameter) or two more parameters after BasePtr (which are interpreted as the StackPtr and InstructionPtr parameters). 
StackPtr 
(x86-based processor only) Specifies the stack pointer for the stack trace. If you omit StackPtr and InstructionPtr, the command uses the stack pointer that the esp register specifies and the instruction pointer that the eip register specifies. 
InstructionPtr 
(x86-based processor only) Specifies the instruction pointer for the stack trace. If you omit StackPtr and InstructionPtr, the command uses the stack pointer that the esp register specifies and the instruction pointer that the eip register specifies. 
WordCount 
Specifies the number of DWORD_PTR values in the stack to dump. The default value is 20 (0x14), unless you changed the default value by using the .kframes (Set Stack Length) command.

Environment
Modes User mode, kernel mode 
Targets Live, crash dump 
Platforms All  


Comments
When you issue the k, kb, kp, kP, or kv command, a stack trace is displayed in a tabular format. If line loading is enabled, source modules and line numbers are also displayed.

The stack trace includes the base pointer for the stack frame, the return address, and function names.

If you use the kp or kP command, the full parameters for each function that is called in the stack trace are displayed. The parameter list includes each parameter's data type, name, and value. 

This command might be slow. For example, when MyFunction1 calls MyFunction2, the debugger must have full symbol information for MyFunction1 to display the parameters that are passed in this call. This command does not fully display internal Microsoft Windows routines that are not exposed in public symbols. 

If you use the kb or kv command, the first three parameters that are passed to each function are displayed. If you use the kv command, FPO data is also displayed.

On an x86-based processor, the kv command also displays calling convention information.

On an Itanium-based processor, the kv command also causes nonvolatile registers to be displayed. This information enables you to trace the register stack.


When you use the kv command, the FPO information is added at the end of the line in the following format.

FPO text Meaning 
FPO: [non-Fpo]
 No FPO data for the frame. 
FPO: [N1,N2,N3]
 N1 is the total number of parameters. 

N2 is the number of DWORD values for the local variables. 

N3 is the number of registers that are saved.

 
FPO: [N1,N2] TrapFrame @ Address
 N1 is the total number of parameters. 

N2 is the number of DWORD values for the locals. 

Address is the address of the trap frame.

 
FPO: TaskGate Segment:0
 Segment is the segment selector for the task gate. 
FPO: [EBP 0xBase]
 Base is the base pointer for the frame. 


The kd command displays the raw stack data. Each DWORD value is displayed on a separate line. Symbol information is displayed for those lines together with associated symbols. This format creates a more detailed list than the other k* commands. The kd command is equivalent to a dds (Display Memory) command that uses the stack address as its parameter.

If you want a stack trace that begins somewhere other than the current stack location, you can use the BasePtr parameter to specify the base pointer value. If you are specifying the base pointer value on an x86-based processor, you should specify BasePtr, StackPtr, and InstructionPtr. These parameters should be the values of ebp, esp, and eip that correspond to the stack trace that you want. If you specify BasePtr and omit StackPtr and InstructionPtr, you might receive incorrect results if there are FPO frames present.

If you use the k command at the beginning of a function (before the function prolog has been executed), you receive incorrect results. The debugger uses the frame register to compute the current backtrace, and this register is not set correctly for a function until its prolog has been executed.

In user mode, the stack trace is based on the stack of the current thread. For more information about threads, see Controlling Processes and Threads.

In kernel mode, the stack trace is based on the current register context. You can set the register context to match a specific thread, context record, or trap frame. 

Additional Information
For more information about stack traces and other ways to display stack traces, see Viewing the Call Stack. For more information about the register context and other context settings, see Changing Contexts.



© 2009 Microsoft Corporation
Send feedback on this topic
Debugging Tools for Windows
January 17, 2009

Build machine: CAPEBUILD
Additional Information
For more information about stack traces and other ways to display stack traces, see Viewing the Call Stack. For more information about the register context and other context settings, see Changing Contexts.

  
 Debugging Tools for Windows 
~s (Set Current Thread)
The ~s command sets or displays the current thread number. 

In user mode, ~s sets the current thread. Do not confuse this command confused with the ~s (Change Current Processor) command (which works only in kernel mode), the |s (Set Current Process) command, the ||s (Set Current System) command, or the s (Search Memory) command.


Syntax
~Thread s 
~ s 


Parameters
Thread 
Specifies the thread to set or display. For more information about the syntax, see Thread Syntax. 
Environment
Modes User mode only 
Targets Live, crash dump 
Platforms All  


Comments
You can specify threads only in user mode. In kernel mode, the tilde (~) refers to a processor.

If you use the ~s syntax, the debugger displays information about the current thread.

This command also disassembles the current instruction for the current system, process, and thread.

Additional Information
For more information and other methods of displaying or controlling processes and threads, see Controlling Processes and Threads.


© 2009 Microsoft Corporation
Send feedback on this topic
Debugging Tools for Windows
January 17, 2009

Build machine: CAPEBUILD
Additional Information
For more information and other methods of displaying or controlling processes and threads, see Controlling Processes and Threads.

  
 Debugging Tools for Windows 
~s (Change Current Processor)
The ~s command sets which processor is debugged on a multiprocessor system.

In kernel mode, ~s changes the current processor. Do not confuse this command with the ~s (Set Current Thread) command (which works only in user mode), the |s (Set Current Process) command, the ||s (Set Current System) command, or the s (Search Memory) command.


Syntax
~Processor s 




Parameters
Processor 
Specifies the number of the processor to debug. 
Environment
Modes Kernel mode only 
Targets Live, crash dump 
Platforms All  


Comments
You can specify processors only in kernel mode. In user mode, the tilde (~) refers to a thread.


You can immediately tell when you are working on a multiple processor system by the shape of the kernel debugging prompt. In the following example, 0: means that you are debugging the first processor in the computer.

0: kd>



Use the following command to switch between processors:

0: kd> ~1s
1: kd>


Now the second processor in the computer that is being debugged.

See Also
Multiprocessor Syntax 



© 2009 Microsoft Corporation
Send feedback on this topic
Debugging Tools for Windows
January 17, 2009

Build machine: CAPEBUILD
See Also
Multiprocessor Syntax 

k命令，具体的windbg自带了帮助文档很全面了，如果kb命令

谢谢，我仔细阅读

引用 3 楼 zhao4zhong1 的回复:

  
 Debugging Tools for Windows 
~s (Change Current Processor)
The ~s command sets which processor is debugged on a multiprocessor system.

......

老师，请教个问题。
现在我想调试一个.exe，想观察其中一个dll调用的情况，这个dll是exe进程下的其中一个线程--线程A。我在正确路径下具有dll的pdb文件（dll和pdb是编译器同时生成的，版本一致），并且确定成功加载。

但是我缺少exe的pdb.

我运行了exe后，让windbg attach到了exe进程，并通过log文件确定了dll的线程号为“n”。但是我break以后，通过~ns切换到该进程，输入各种k指令也只能看到这样的信息



请问能大概跟我讲讲为什么会这样子吗？我之后会仔细阅读Windbg的教程，但是现在急用，无奈之下才这样提问的

引用 4 楼 spirit008 的回复:

k命令，具体的windbg自带了帮助文档很全面了，如果kb命令

帮我看看你楼下的回复~万分感谢

引用 4 楼 spirit008 的回复:

k命令，具体的windbg自带了帮助文档很全面了，如果kb命令

我在目标线程内~*kv,kb,kp,kP等等都试过了，可是无法看到函数调用等情况，只有各种dll

你5楼的图不就是call stack？你还想看到什么？

引用 8 楼 spirit008 的回复:

你5楼的图不就是call stack？你还想看到什么？

我想看堆栈里的函数和参数，就跟打开dmp文件时看到的堆栈信息那样，能做到么？

引用 8 楼 spirit008 的回复:

你5楼的图不就是call stack？你还想看到什么？

就像这样，attach到某个进程后看堆栈内的具体内容，函数的调用，参数等

引用 10 楼 nefory 的回复:

Quote: 引用 8 楼 spirit008 的回复:

你5楼的图不就是call stack？你还想看到什么？

就像这样，attach到某个进程后看堆栈内的具体内容，函数的调用，参数等

啧，发错图了

你5楼的图和你描述的没有出入，用dump还是挂进程跑是一模一样的，
这就是函数，感叹号前是所属模块（dll or exe），感叹号后是函数名+偏移地址。
函数参数是不能直接显示的，就是显示出来也不一定对，因为windbg只是依赖寄存器ebp+xx来猜你的函数参数，
而这个推导过程是否正确取决于你的编译选项，是否选中了帧指针优化等等因素，因为有可能函数参数只是存在了某个寄存器里而已。

我想看到的是这种效果，但是我用!clkstack的时候显示No export clrstack found，而且我也无法加载clr，即便我是framework4.0

引用 12 楼 spirit008 的回复:

你5楼的图和你描述的没有出入，用dump还是挂进程跑是一模一样的，
这就是函数，感叹号前是所属模块（dll or exe），感叹号后是函数名+偏移地址。
函数参数是不能直接显示的，就是显示出来也不一定对，因为windbg只是依赖寄存器ebp+xx来猜你的函数参数，
而这个推导过程是否正确取决于你的编译选项，是否选中了帧指针优化等等因素，因为有可能函数参数只是存在了某个寄存器里而已。

有pbd文件也不行吗？我的程序是debug版本，没有经过任何优化的，按理说不是应该能显示出函数名吗？

引用 12 楼 spirit008 的回复:

你5楼的图和你描述的没有出入，用dump还是挂进程跑是一模一样的，
这就是函数，感叹号前是所属模块（dll or exe），感叹号后是函数名+偏移地址。
函数参数是不能直接显示的，就是显示出来也不一定对，因为windbg只是依赖寄存器ebp+xx来猜你的函数参数，
而这个推导过程是否正确取决于你的编译选项，是否选中了帧指针优化等等因素，因为有可能函数参数只是存在了某个寄存器里而已。

可是我用setunhandledexceptionfilter()+Minidumpwritedump生成的dmp配合同版本的pdb，在windbg打开时能看到堆栈内的具体函数调用情况的

  
Debugging Tools for Windows 
.cordll (Control CLR Debugging)

The .cordll command controls managed code debugging and the Microsoft .NET common language runtime (CLR).


Syntax
.cordll [Options] 



Parameters
Options 
One or more of the following options:
-l 
Loads the CLR debugging modules. 
-u 
Unloads the CLR debugging modules. 
-e 
Enables CLR debugging. 
-d 
Disables CLR debugging. 
-D 
Disables CLR debugging and unloads the CLR debugging modules. 
-N 
Reloads the CLR debugging modules. 
-lp Path 
Specifies the directory path of the CLR debugging modules. 
-se 
Enables using the short name of the CLR debugging module, mscordacwks.dll. 
-sd 
Disables using the short name of the CLR debugging module, mscordacwks.dll. Instead, the debugger uses the long name of the CLR debugging module, mscordacwks_<spec>.dll. Turning off short name usage enables you to avoid having your local CLR used if you are concerned about mismatches. 
-ve 
Turns on verbose mode for CLR module loading. 
-vd 
Turns off verbose mode for CLR module loading. 


Environment
Modes User mode, kernel mode 
Targets Live, crash dump 
Platforms All  


Comments
The .cordll command is supported in kernel-mode debugging. However, this command might not work unless the necessary memory is paged in.



© 2009 Microsoft Corporation
Send feedback on this topic
Debugging Tools for Windows
January 17, 2009

Build machine: CAPEBUILD

  
Debugging Tools for Windows 
Debugging Managed Code
You can also use the WinDbg, CDB, and NTSD to perform limited debugging of target applications that contain managed code.

Introduction to Managed Code
Managed code is code that is executed together with the Microsoft .NET common language runtime (CLR). The .NET CLR manages raw code and data for the application and provides enhanced services such as garbage collection and platform-independent code.

Compiled code that requires this runtime is called managed code. Code that does not require this runtime is called unmanaged code. An application that consists of only managed code is called a managed application.

A managed .NET application can execute on any platform that supports the .NET CLR because the binary code that the compiler produces is not platform-specific. Binary code in a managed application is in Microsoft intermediate language (MSIL). The binary also includes object information and other references (known as metadata).

A managed application differs from a traditional application because many details of the application's execution are determined by the runtime, such as how data structures are laid out in memory, and how native code is generated and used. When the application is run, the runtime makes decisions about data usage and code usage while the application is running, producing native code that is specific to the platform. The process of generating native code from MSIL is called managing or just-in-time (JIT) compiling (or sometimes JITting). The component of the runtime that performs this translation step is called the JIT compiler.

After the JIT compiler has compiled the MSIL for a specific method, that method's stub is replaced with the address of the compiled code. Whenever this method is later called, the native code executes and the JIT compiler does not have to be involved in the process. 

Building Managed Code
You can build managed code by using several compilers that are manufactured by a variety of software producers. In particular, Microsoft Visual Studio .NET can build managed code from four different languages:

C++ with managed extensions 
C# 
Visual Basic 
JScript 

By default, Microsoft Visual C++ .NET does not build managed applications. You must request this kind of build through a command-line switch or through the graphical interface.

Debugging Managed Code
You can debug managed code by using the Sos.dll extension. This extension is located in the \clr10 subdirectory of the Debugging Tools for Windows installation.


To use this extension, load it and then type !clr10\sos.help..

This command lists all available extension commands and their parameters.




© 2009 Microsoft Corporation
Send feedback on this topic
Debugging Tools for Windows
January 17, 2009

Build machine: CAPEBUILD

我只会粘贴帮助文档的片断。

引用 12 楼 spirit008 的回复:

你5楼的图和你描述的没有出入，用dump还是挂进程跑是一模一样的，这就是函数，感叹号前是所属模块（dll or exe），感叹号后是函数名+偏移地址。函数参数是不能直接显示的，就是显示出来也不一定对，因为windbg只是依赖寄存器ebp+xx来猜你的函数参数...

另外，MSDN对call stack的介绍也是能直接显示函数的，而且讲的很简单。



啊，求解答啊

又发错图了....这才是msdn对call stack的介绍

引用 18 楼 zhao4zhong1 的回复:

我只会粘贴帮助文档的片断。

老师你好懒啊
当然我更懒，万分感谢两位啊！！

我说的很清楚了啊，你那个显示的就是“函数名”！！不是说你不认识的就不是函数!

引用 22 楼 spirit008 的回复:

我说的很清楚了啊，你那个显示的就是“函数名”！！不是说你不认识的就不是函数!

我知道你的意思，我说的是如果我想做到MSDN介绍里那个效果，该如何做

~*kb
~ns  n替换为线程id

pdb文件需要用 symstore转换才可使用
用 
.reload -f加载

Debugging Managed Code
 You can debug managed code by using the Sos.dll extension. This extension is located in the \clr10 subdirectory of the Debugging Tools for Windows installation.


 To use this extension, load it and then type !clr10\sos.help..

 This command lists all available extension commands and their parameters.
我还会粘贴帮助文档的片断并加红色。

0:000> !clr10\sos.help
Use !DumpDataTables to see interesting information about System.Data.DataTables. To see more tips, run !tip.
Did you know that a lot of exceptions (!dumpallexceptions) can cause memory problems. To see more tips, run !tip.
-------------------------------------------------------------------------------
SOS is a debugger extension DLL designed to aid in the debugging of managed
programs. Functions are listed by category, then roughly in order of
importance. Shortcut names for popular functions are listed in parenthesis.
Type "!help <functionname>" for detailed info on that function. 

Object Inspection                  Examining code and stacks
-----------------------------      -----------------------------
DumpObj (do)                       Threads (t)
DumpAllExceptions (dae)            CLRStack
DumpStackObjects (dso)             IP2MD
DumpHeap (dh)                      U
DumpVC                             DumpStack
GCRoot                             EEStack
ObjSize                            GCInfo
FinalizeQueue                      COMState
DumpDynamicAssemblies (dda)        X
DumpField (df)                     SearchStack
TraverseHeap (th)
GCRef

Examining CLR data structures      Diagnostic Utilities
-----------------------------      -----------------------------
DumpDomain                         VerifyHeap (vh)
EEHeap                             DumpLog
Name2EE                            FindAppDomain
SyncBlk                            SaveModule
DumpASPNETCache (dac)              SaveAllModules (sam)
DumpMT                             GCHandles
DumpClass                          GCHandleLeaks
DumpMD                             FindDebugTrue
Token2EE                           FindDebugModules
EEVersion                          Bp
DumpSig                            ProcInfo
DumpModule                         StopOnException (soe)
ThreadPool (tp)                    TD
ConvertTicksToDate (ctd)           Analysis
ConvertVTDateToDate (cvtdd)        Bl
RWLock                             CheckCurrentException (cce)
DumpConfig                         CurrentExceptionName (cen)
DumpHttpRuntime                    ExceptionBp
DumpSessionStateConfig             FindTable
DumpBuckets                        LoadCache
DumpHistoryTable                   SaveCache
DumpRequestTable                   ASPXPages
DumpCollection (dc)                DumpGCNotInProgress
DumpDataTables                     CLRUsage
GetWorkItems                                                  
DumpLargeObjectSegments (dl)       
DumpModule
DumpAssembly                       Other
DumpMethodSig                      -----------------------------
DumpRuntimeTypes                   FAQ
PrintIPAddress
DumpHttpContext
DumpXmlDocument (dxd)
我还会按帮助文档提示输入命令 !clr10\sos.help

0:000> !clr10\sos.help Bp
Use !GCRef to see what objects hold a reference to the given object and what references it holds. To see more tips, run !tip.
-------------------------------------------------------------------------------
!Bp <module name> <method name>
!Bp <module name>!<method name>

!Bp sets a breakpoint on the given function.  It will break even if 
the function isn't JIT'ed yet.

我还会……