file-> kernel debug -> 彈出視窗上方,最右邊那個選項卡local ->點yes 即可
系統必須是:win xp或以上的作業系統,其他都不行
接下來就可以除錯kernel了。windbg命令很多,我將一點一點的學習,下面先學幾個常用的命令。
1.version
獲取本機windows的kernel資訊,如下:
lkd> version
windows xp kernel version 2600 mp (2 procs) free x86 compatible
product: winnt, suite: terminalserver singleuserts
kernel base = 0x804d8000 psloadedmodulelist = 0x8055e720
debug session time: sat mar 28 12:30:50.718 2009 (gmt+8)
system uptime: 0 days 2:53:20.289
//.........
命令訪問實體地址,如:dd 805649c0 也可以 dd 函式或者結構 或者在記憶體的位址
3.dt
Windbg除錯異常
用windbg分析包含異常資訊的dump檔案時,往往當前棧幀已不正確,可通過如下步驟找回 1 teb,找到stackbase和stacklimit 2 通過.cxr命令將異常上下文恢復到相關暫存器 如何找到異常上下文的位址呢?方法一 dds dps dqs stacklimit stackbase ...
windbg除錯技巧
1 64位機器上執行32位程式得到的dump,需要先進行轉換 load wow64exts sw2 載入符號表 系統符號表 srv d mylocalsymbols 吵雜模式符號匹配 有時候 沒大改,但重編了導致之前的pdb沒有了 符號載入,吵雜模式 強制匹配符號 symopt 0x40 sym n...
windbg雙機除錯
1 雙機除錯設定 環境 主機 win10 虛擬機器 win xp sp3 windbg preview pipe管道鏈結 我機子新增了環境變數居然沒用,所以每次都得設定路徑 symfix c mysymbols sym noisy reload2 符號包無法reload 解決方案 看雪大佬說通過設定...