还是一样显示数字

win7 64，故障现象是桌面快捷方式点不动，但是win键、右击任务栏有反应。explorer进程cpu很低。连下了4个dmp，发现explorer的前5个线程一动不动。分析0号线程的kb，如图想知道它Wait那个Object。但是从栈区数据上很难逆向出实际参数是啥。改用!cmkd.stack -p来解析WaitMulityObjectEx的实际入参0:000> !cmkd.stack -p Call Stack : 128 frames ## Stack-Pointer Return-Address Call-Site 00 00000000001497b8 000007fefce71420 ...

对于虚拟机场景。虚机是windows7(7601.24499)，host机是linux。我想调试虚机。现有一种在host上dump出虚机内存的方法。随后我使用volatility2.6.1将dump转为windbg的dump。python2 vol.py --profile=Win7SP1x64_24000 --plugins=raw2dmp -f 1.virshdmp raw2dmp --output-image=1.dmp然后用windbg打开1.dmp，一开始windbg提示16.0: kd:x86> !wow64exts.sw Switched to Host mode遂得到16.0: kd>随便载入一个线程，例如.thread ...