from:http://www.cnblogs.com/yangnas/archive/2010/10/05/1844459.html

符号路径配置的两种方法:

1. 在Windbg的File -> Symbol File Path... 里输入如下内容 
srv*c:\symbols*http://msdl.microsoft.com/download/symbols 
然后选中reload复选框,最后点选OK.

2. 或者可以在Windbg运行时以输命令的方式设置符号路径: 
.symfix c:\symbols 
.reload

以上这两种设置方法是等同的.

常用调试命令: 
1.  x : 以通配符的方式检查一个模块内的符号地址 
    例如: x nt!Psp* (显示内核里所有以Psp开头的内核符号) 
2.  lm : 显示所有已加载的模块列表 
3.  dd : 显示一个地址起始的32位整数值(默认显示32个整数,每行4个,共8行) 
    例如: dd 1014db0 L1 (L1表示只显示一个整数) 
4.  du : 显示UNICODE形式的字符串 
5.  .formats <数字> : 以各种进制显示这个数字 
6.  !process 0 0 : 打印系统中所有进程(只在内核调试下有效) 
    !process <EPROCESS> : 显示一个进程的关键信息 
7.  !dd : 显示物理地址(只在内核调试下有效) 
8.  使用Windbg在内核调试下调试用户进程. 
    !process 0 0 列出所有进程 
    .process /p <EPROCESS> 切换到应用进程的地址空间 
    .reload /f /user 重新加载此进程用户空间的符号信息 
    .process /i /p <EPROCESS> 以入侵且禁止缓存映射地址的方式重新切换地址空间 
    bp <xxx> 下应用层断点 
9.  bl : 查看已设置的断点列表 
10. bc : 取消一个断点 
11. ba : 设定一个内存访问断点 
    例如: ba w1 0042201c 
          ba r2 0042201c 
12. r : 显示寄存器的值 
13. u : 反汇编,例如: u 401500 L9 反汇编当前地址以后的9条指令 
14. ub: 向前反汇编,例如: ub 4014f9 L2 反汇编当前地址之前的两条指令 
15. k : 显示栈回溯 
16. kp: 显示栈回溯并且显示每个函数被调用时的参数信息 
17. g : 继续执行程序 
18. dt: 显示类型结构命令 
    例如,在内核调试下: 
    dt _EPROCESS <某进程的EPROCESS首地址> 
19. 在内核调试下显示一个进程的PEB信息 
    .process <EPROCESS> 先切换到某个进程的上下文 
    dt _PEB <PEB地址> 显示进程的环境块信息 
20. ln [address] : 显示指定地址的类型信息,或临近address的符号的类型信息.address为可选. 
21. ~* kp : 显示所有线程的栈回溯 
22. ~* : 显示所有线程(同时也显示出线程的启动函数的地址) 
23. dt ntdll!*create* : 显示一个模块内的所有结构体类型名 
24. !handle : 查看句柄(表) 
25. uf <function address> : 反汇编函数 
26. !peb [address] : 显示一个进程的进程块信息 
27. !object 查看内核对象,格式如下: 
    Usage: !object [-p] | [[<Path>] | [<Address>] | [0 <TypeName>]] 
28. t : 单步跟入. tc: 单步跟入直到一个call为止. 
    tct: 单步跟入直到一个call或ret为止. tt: 单步步入直到一个ret为止. 
29. p : 单步步过. pc: 单步步过直到一个call为止. pct: 单步步过直到一个call或ret为止.

     pt: 单步步过直到一个ret为止. 
29. bu kernel32!BaseProcessStart : 设置一个延迟的以后再落实的断点 
    注: 上面这个命令常用来对还没有加载的模块内的函数设置断点。