搜索论坛 帖子排序:  Oldest to newest Newest to oldest

2020-06-11, 10:04 上午 sculida 注册: 2020-06-11 发 贴: 3 windbg总是把寄存器当作4字节。volatility得到的dmp 对于虚拟机场景。虚机是windows7(7601.24499)，host机是linux。我想调试虚机。现有一种在host上dump出虚机内存的方法。 随后我使用volatility2.6.1将dump转为windbg的dump。 python2 vol.py --profile=Win7SP1x64_24000 --plugins=raw2dmp -f 1.virshdmp raw2dmp --output-image=1.dmp 然后用windbg打开1.dmp，一开始windbg提示 16.0: kd:x86> !wow64exts.sw Switched to Host mode 遂得到 16.0: kd> 随便载入一个线程，例如.thread explorer的0号线程。奇怪的是，用r查看寄存器，都是有的，k也能得到栈回溯。但是dp rsp的时候，似乎windbg，总是把寄存器当作16位数字而非64位，因此无法看到栈区数据。 也试过.effmach amd64, .effmach x86。没效果。不知道怎么办了。请教一下大家。多谢了！ 16.0: kd> r Last set context: rax=0000000000000000 rbx=0000000000000000 rcx=0000000000000000 rdx=0000000000000000 rsi=0000000000000000 rdi=0000000000000000 rip=fffff80004ca815a rsp=fffff88002824ec0 rbp=fffffa800681f820 r8=0000000000000000 r9=0000000000000000 r10=0000000000000000 r11=0000000000000000 r12=0000000000000000 r13=0000000000000000 r14=0000000000000000 r15=0000000000000000 iopl=0 nv up di pl nz na pe nc cs=0000 ss=0000 ds=0000 es=0000 fs=0000 gs=0000 efl=00000000 16.0: kd> k *** Stack trace for last set context - .thread/.cxr resets it # Child-SP RetAddr Call Site 00 fffff880`02824ec0 fffff800`04c43c82 nt!KiSwapContext+0x7a 01 fffff880`02825000 fffff800`04c51802 nt!KiCommitThreadWait+0x1d2 02 fffff880`02825090 fffff800`04f15575 nt!KeWaitForMultipleObjects+0x272 03 fffff880`02825350 fffff800`04f1af9d nt!ObpWaitForMultipleObjects+0x295 04 fffff880`02825820 fffff800`04cb3d53 nt!NtWaitForMultipleObjects+0xe5 05 fffff880`02825a70 00000000`77319e3a nt!KiSystemServiceCopyEnd+0x13 06 00000000`001497b8 00000000`00000000 0x77319e3a 16.0: kd> dp rsp 0000:4ec0 ????????`???????? ????????`???????? 0000:4ed0 ????????`???????? ????????`???????? 0000:4ee0 ????????`???????? ????????`???????? IP 地址: 已记录   报告

2020-07-03, 11:41 上午 格蠹老雷 注册: 2005-12-19 发 贴: 1,303 Re: windbg总是把寄存器当作4字节。volatility得到的dmp Try dd fffff88002824ec0  IP 地址: 已记录   报告

2020-09-23, 15:52 下午 sculida 注册: 2020-06-11 发 贴: 3 Re: windbg总是把寄存器当作4字节。volatility得到的dmp 还是一样显示数字 IP 地址: 已记录   报告

高端调试 » 软件调试 » Windows内核调试 » Re: windbg总是把寄存器当作4字节。volatility得到的dmp

请选择 论坛首页 |- 论坛搜索 |- 热门主题 |- 未回复的主题 用户选项 |- 登录 |- 注册 |- 找回密码 软件调试 |- Windows内核调试 |- C/C++本地代码调试 |- .Net程序调试 |- 脚本程序调试 |- Java程序调试 |- Linux内核调试 |- 《程序员》杂志调试专栏 |- WinDbg |- GDB |- 远程调试 |- 调试ACPI和BIOS |- 特殊的调试任务 |- 转储分析 |- GDK7 内核探秘 |- Windows内核 |- Linux内核 系统架构 |- CPU架构 |- PCI/PCI Express架构 程序人生 |- 软件物语 |- 社区活动 |- 名人逸事 联盟论坛 |- 欢迎使用CnForums 没有银弹 |- BUG也精彩 |- 豆腐工程 |- 软件圈里十大怪 Windows Vista |- 用调试利剑剖析VISTA内幕 |- 老专家如何破解新问题 |- 我的电脑谁说了算？ |- 资源 Office开发 |- Visio 驱动程序开发 |- Windows驱动开发 |- Linux驱动开发 |- Windows CE驱动开发 用户态开发 |- Windows本地代码（native）高级开发 |- Web应用开发 |- WinFX和.Net |- Office开发 本站建设 |- 高端调试团队 |- 版面布局 |- 活动建议 |- 网站维护 64位计算 |- 64-bit Windows |- 64-bit CPU 图书 |- 《软件调试》的示例程序 |- 《软件调试》的工具 |- 《软件调试》书友 |- 《软件调试》答疑 |- 《软件调试》勘误和意见 |- 《格蠹汇编》 |- 《软件调试》第二版卷1 |- 《软件调试》第二版卷2 云计算 |- IaaS |- 云存储 |- 大数据 |- PaaS和SaaS GPU |- CUDA |- OpenCL |- HSA |- 游戏开发与调试