=========================================================================================================
DEBUGGER (CDB/WINDBG)
=========================================================================================================
*<text>                 Kommentar
.printf "<text>",<args>	Text ausgeben, mit z.B. %i dann <args> einfügen (ala C/C++)
.logopen <file>		logfile erzeugen/öffnen
.logclose		logfile schließen
.cmdtree <file>		cmdtree laden (befehle im GUI als baum einblenden)
.sympath		aktuellen sympath anzeigen
.sympath <path>		symbolconfig (srv*c:\symbols*http://msdl.microsoft.com/download/symbols)
.sympath+ <path>	symbolconfig hinzufügen (srv*c:\symbols*https://nuget.smbsrc.net - für Nuget)
.srcpath                sourcepfad anzeigen
.srcpath+ <path>	sourcepfad hinzufügen
.open -a <adress>	source zu funktion/typ (aus x oder dt) öffnen wenn möglich (s. srcpath)
.time			timestamp information zum dump
.cordll -ve -u -l	.NET debug support laden (oder .load C:\WINDOWS\Microsoft.NET\Framework*\v4.0.30319\SOS.DLL)
			.NET 5/6: dotnet tool install --global dotnet-sos / dotnet-sos install / .load <pfad>\sos.dll
.cordll -vd		.NET debug support beenden
.open <file>		file im debugger öffnen
.dump /ma <file>	aktuelles target dumpen
.shell <cmd>		shell kommando ausführen
.shell_quit		shell kommando stoppen falls es noch läuft
.frame <num>		frame <num> im call stack auswählen
.server tcp:port=<port> server auf port <port> erzeugen (alternativ auch mit DBGSRV.EXE)
                        clientaufruf: windbg -remote tcp:Port=<port>,Server=<servername>


=========================================================================================================
EXTENSIONS
=========================================================================================================
.chain			geladene extensions anzeigen
.load <extension>	<extension> laden
.unload <extension>	<extension> entladen
.extpath		aktuellen extension path anzeigen
.extpath <path>		extension path setzen
.extpath+ <path>	<path> zum extension path hinzufügen

SosEx.dll		http://www.stevestechspot.com/downloads/sosex_32.zip
			http://www.stevestechspot.com/downloads/sosex_64.zip
NetExt.dll 		https://github.com/rodneyviana/netext
Mex.dll			https://www.microsoft.com/en-us/download/details.aspx?id=53304
iisinfo.dll		Teil von DebugDiag

=========================================================================================================
PROZESS/DUMP
=========================================================================================================
|			information zum aktuellen prozess
||			position vom dump
k			call stack
k <number>		<number> of frames from call stack
lm			alle geladenen module anzeigen
lm vm <module name>	info zu modul (v=verbose -> versionen, resource table etc.)
ln <adress>		list nearest smybol
x <module>!<func/type>	eXamine funktionen/types aus dem modul, func mit * als wildcard möglich
dd,dc,db,da,du,dq,dp	display memory als doublewords,ASCII bytes,bytes,unicode,quadwords,pointers
ed,eb,ea,eu <addr> <val>edit memory auf <addr> mit wert <val> (doubleword,byte,ASCII string,unicode string)
dt <module>!<type> -v	DumpTypes aus dem modul, type mit * als wildcard möglich (-v auch wenn keine typinformation vorhanden ist)
dt <type> <addr> -r	<type> (Form: <module>!<type>, beispiel ntdll!_PEB) anzeigen (-r für rekursiv)
dx 			debugger OM expression [https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/dx--display-visualizer-variables-]
dps <adress>		ab <address> 32/64 bit (je nach target) potentielle symbole anzeigen (dds=32 bit,dqs=64 bit)
dv			lokale variablen anzeigen (private symbole vorausgesetzt)
sx			status exception handling anzeigen
sxe,sxd,sxi,sxn,sxr <p>	exception handling: enable, disable, ignore, notify, reset to defaults
			<p> gibt an wann: [https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/controlling-exceptions-and-events]
!dh <module>		dump header
!sos.help		.NET extension hilfe
!sos.pe			.NET print exception
!sos.AnalyzeOOM		.NET out of memory analysis
r			cpu register 
uf <module>!<func> /i	unassemble function (/i mit zeilennummer wenn symbole vorhanden)
uu <address>		assembler ab <address> anzeigen (ub für zurück)

wt -l <level> -or	trace laufen lassen (<level> level) und statistik/jeweils returncode anzeigen
.exr -1			letzte exception anzeigen
!gle			letzten fehlercode vom aktuellen thread anzeigen
!gflag			gesetzte GFLAGS anzeigen
!runaway 1+2+4		CPU time (User/Kernel/Elapsed)
!cs -l			critical sections (-l = lock status)
!locks			locks anzeigen (alternativ zu !cs -l)


=========================================================================================================
KERNEL
=========================================================================================================
!process		aktiven prozess anzeigen
!process 0 0		alle prozesse anzeigen
!process <address>	prozess auf <adress> (aus 0 0 liste) anzeigen
.process <address>	aktiven prozess setzen (aus 0 0 liste)
!token <address>	prozesstoken anzeigen
!thread <address>	thread auf <adress> anzeigen
.thread <address>	aktiven thread setzen
!irp <address>		IRP anzeigen
!object			windows objekte anzeigen (ala WinObj)


=========================================================================================================
BREAKPOINTS
=========================================================================================================
bp <modul>!<func>	breakpoint adden, func ohne wildcard notwendig
bm <modul>!<func>	mehrere breakpoints adden, func mit wildcard * möglich
bl			breakpoints anzeigen
bc <num..>		breakpoint <num> löschen, mehrere mit blanks trennen


=========================================================================================================
.NET 5+                 [dotnet-xxxx --help]
=========================================================================================================
dotnet-symbol		symbol download/handling   (dotnet tool install -g dotnet-symbol)
dotnet-dump		dump erzeugen/analysieren  (dotnet tool install -g dotnet-dump)
			dotnet-dump collect -p <pid>
			dotnet-dump analyze <file>
dotnet-counters		.NET perf counter loggen   (dotnet tool install -g dotnet-counters)
			dotnet-counters collect <counter...> -pid <pid>
dotnet-trace		EventPipe based traces     (dotnet tool install -g dotnet-trace)
			dotnet-trace collect -pid <pid>
			dotnet-trace report <tracefile> -topN

=========================================================================================================
MEMORY
=========================================================================================================
!vprot <adress>		page protection anzeigen
!address -summary	nativen heap anzeigen
!handle			handles anzeigen
!wow64exts.sw		switch auf guest mode (WoW 64 > 32 bit)
!peb			Environment
!heaps			native heaps
!dumpheap		.NET heaps
!eeheap			.NET heaps (execution engine - GC u.ä.)
!clrstack		.NET call stack
!dumpstack		nativen stack dumpen, muss nicht alles stimmen weil teile nicht mehr aktiv sein müssen

=========================================================================================================
THREADS
=========================================================================================================
~			threads anzeigen
~<num>s			auf thread <num> setzen (debugger prompt hinterm : ist die thread id)
~<num>k			call stack von thread <num> (*=alle)