约有 1,303 项符合查询结果, 以下是第 94 - 131项。
费时 < 1 秒。
简单回答,原因就是调试器在读取要反汇编的内存数据时失败了,也就是读不到要反汇编的机器码。No code found——找不到代码,只好aborting——终止。
更进一步的原因可能是:
1)如果是在分析转储文件,那么可能是WinDBG无法加载到合适版本的映像文件——win32k.sys
2)如果是在做活动内核调试,那么可能要读的内容不在物理内存中,也可能是页表已经混乱
Posted in Windows内核调试
by
格蠹老雷
on 2009-05-29
在某些版本的Windows中,会使用NTFS的Hard Link机制使system32下的文件是WinSXS下文件的链接,可以使用下面的工具hlscan来观察:
http://www.microsoft.com/downloads/thankyou.aspx?familyId=289adee4-abb3-4e18-ab07-c77db8654979&displayLang=en&hash=m4o75%2blFR8zSvBpZwJFF7x%2bmL4H%2bwTxKVikDE06LZxyoEQvBHfbcNS869j6%2bedxYMm2%2bMPnEXIRo23Z8EaMTEA%3d%3d
Posted in Windows内核调试
by
格蠹老雷
on 2009-05-28
对的,64位版本的Windows是把64位的系统文件放在system32目录下,而且像kernel32.dll,名字中的32仍不影响它可能是64位版本的。
Posted in Windows内核调试
by
格蠹老雷
on 2009-05-27
思考了一下,ICH中的规则应该是:
A20M# = (bit 1 of Port92) .OR. (A20Gate)
这样一来:
1)A20M#是低电平有效的,也就是当其为0时,屏蔽逻辑才起作用。
2)不论是设置Port92的Bit 1还是设置A20Gate都可以导致A20M#变高电平,屏蔽逻辑失效,也就是A20地址线正常工作。
换句话来说,要屏蔽A20,那么要求两个地方都为0;如果要取消屏蔽逻辑,设置其中任何一个都可以。
Posted in Windows内核调试
by
格蠹老雷
on 2009-05-19
今天比较忙,使用ITP匆忙看了一下。
(一)CPU复位后,0x92端口的值是0
[[P0] RESET break at 0xf000:000000000000fff0 ][ RESET break at 0xf000:0000000000000000 ...
Posted in Windows内核调试
by
格蠹老雷
on 2009-05-18
哈哈哈,卖ITP的看到这个帖子该有多高兴呀:-)
这两天忙着写专栏的文章,ITP也不在手上,明天会试验一下。
Posted in Windows内核调试
by
格蠹老雷
on 2009-05-17
下面的网页有链接呀:
http://advdbg.org/books/swdbg/t_cpuwhere.aspx
也就是:
http://advdbg.org/download/storeshow.aspx?id=0232bc08-1f99-407d-bae1-000ff116f56b
Posted in 《软件调试》答疑
by
格蠹老雷
on 2009-05-15
可以用Mark编写的小工具来看:
http://technet.microsoft.com/en-us/sysinternals/bb896655.aspx
也可以使用本地内核调试或者系统的转储,也就是观察内核态后的文件对象信息。
Posted in Windows内核调试
by
格蠹老雷
on 2009-05-13
呵呵,仔细理解这些内容是需要花些功夫的,最好是边看边做(试验),很高兴看到你正是使用这种方法。
上面提到的719页和722页的问题,你说的对,我会尽快加到勘误中,多谢。
Posted in 《软件调试》答疑
by
格蠹老雷
on 2009-05-10