"!heap -flt -s xxxx" windbg命令中的不同列代表什么?
我一直在研究高内存问题,最近在windbg中进行了大量堆分析,我很好奇"!heap -flt -s xxxx"命令中的不同列实际上意味着什么。 我看过What do the 'size' numbers mean in the windbg !heap output?,并查阅了我的《Wind...
确定ZwWaitForMultipleObjects正在等待哪些对象
在windbg中查看崩溃转储时,我可以看到所有当前线程都停留在 > ~2k ChildEBP RetAddr 00d2fcc8 7d4e27dc ntdll_7d600000!ZwWaitForMultipleObjects+0x15 或者是同类的SingleObject。 ...
如何在不清除所有断点的情况下重新启动调试程序?
每次我执行 .restart (因为我不小心按了太多次 F10),WinDBG 都会清除我所有的断点。在重新启动被调试程序时保留这些断点是否可能?
如何从PEPROCESS中读取驱动程序的导入地址表?
我正在编写一个驱动程序,以创建一个防病毒软件。然而,我在读取进程的导入地址表方面卡住了。 我有一个CreateProcessNotify: VOID CreateProcNotify(HANDLE ParentId, HANDLE ProcessId, BOOLEAN Create) ...
如何在WinDbg中设置符号?
我正在使用Windows调试工具,当我启动WinDbg/cdb或ntsd时,会出现以下错误消息: Symbol search path is: *** Invalid *** **********************************************************...
WinDbg符号解析
使用WinDbg调试时,私有符号文件(pdb?)应放置在何处? 我的情况是:我有一个需要调试的DLL。我拥有此DLL的源代码和符号文件。这个DLL被另一个DLL调用(我没有符号或源代码),然后由一个EXE调用(我也没有符号或源代码)。 我的问题是,我收到了一个警告,内容如下: **...
Windows 调试工具无法安装
我正在尝试通过Windows SDK安装Windows调试工具,但是在两次尝试之后,我不知道该怎么办了。 我开始安装,并且没有收到任何错误,但是调试工具(windbg和kd)无处可寻... 日志几乎没有用:9:16:59 PM Monday, July 18, 2011: [SDKSetup:...
任务管理器生成的进程转储类型是什么?
从Windows Vista开始,现在可以直接从任务管理器生成进程转储文件。通常我会使用Adplus或直接使用Windbg来生成进程转储文件。如果我使用其中一种选项,就必须在命令中提供一些开关以描述正在生成的转储类型。鉴于当我从任务管理器生成进程转储文件时,所有这些细节都是隐藏的,那么有人知道...
64位进程的kb表示什么?
我最近在分析一个调用栈时犯了一个错误,因为我没有预料到应用程序是64位的。我使用WinDbg命令kb来显示调用栈和传递给方法的参数。 在64位上,参数不是通过堆栈传递的,而是通过寄存器(RCX、RDX、R8和R9)传递。似乎WinDbg并没有完全实现这个功能。部分原因是由于寄存器的值可能已经...