win7 32位windbg本地内核调试问题
Windows内核调试
win7 32位windbg本地内核调试问题
jiu63577
2015-08-28, 16:05 下午
最近在进行本地内核调试时,dt显示结构体时,不管加不加模块名,总是提示符号文件错误,
lkd> dt _eprocess
*************************************************************************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
我试着把所有的符号文件全部删除,再次重新获取,但是效果一样,
不管是用户态结构还是内核的结构体信息,都提示符号文件不正确,换了一个windbg
还是一样,
lkd> lmvm nt
start end module name
84449000 84862000 nt (pdb symbols) e\win7symbol\ntkrpamp.pdb\469594F9D3B54E13BE207E239481FEBF2\ntkrpamp.pdb
Loaded symbol image file: ntkrpamp.exe
实在不知道原因出在哪儿,还请大家棒棒忙,谢谢
Re: win7 32位windbg本地内核调试问题
格蠹老雷
2015-08-28, 19:39 下午
1) 把PDB文件删掉,重新下载
2)尽量不用LKD,使用双机内核调试或者打开dump文件
Re: win7 32位windbg本地内核调试问题
nightxie
2015-08-31, 09:49 上午
8月份的安全补丁打了后,win7核心模块PDB的UDT都不在符号文件里面了,所以很多windbg扩展失效,也许微软会在9月份修复吧。
现在的解决方法,你可以设置个以前有UDT的pdb路径,用/i加载符号
Re: win7 32位windbg本地内核调试问题
riverhac
2015-09-14, 11:09 上午
貌似是这个问题