约有 66 项符合查询结果, 以下是第 1 - 7项。
费时 < 1 秒。
是别人问我的,自己水平有限,不是很确定。实际上是2个问题,
1. dump文件中有没有模块的调试符号信息?
2. 如果没有,那加载调试符号时是根据哪个系统来的。举个例子,一个程序在windows 2000上跑宕机了,然后在win7上分析这个Dump,这时windbg加载符号加载的是2000还是win7的符号?
Posted in Windows内核调试
by
wrong
on 2013-04-16
帮助文件中有的。
When you use a register in an expression, you should add an at sign ( @ ) before the register. This at sign tells the debugger that the following text is the name of a register.
If you are using MASM expression syntax, you can omit the at sign for certain very common registers. On x86-based systems, you can omit the at sign for the eax, ...
Posted in WinDbg
by
wrong
on 2012-05-30
多谢张老师,既然修正好,那么怎么样修改本地硬盘上的文件?
另外,windbg里如何指定下载某个image的pdb文件?
Posted in Windows内核调试
by
wrong
on 2012-05-28
看了帮助,是说比较内存中的PE文件和symbol path中的符号,然后来修正,没想明白,为什么symbol文件可以用来修正PE文件本身?
而且既然是内存中的修正,下次启动不是还是原样嘛,那这条命令的意义何在。
Posted in Windows内核调试
by
wrong
on 2012-05-22
使用!thread命令时有很多输出,有一个是thread state,
比如:WAIT: (WrUserRequest) UserMode Non-Alertable,WAIT: (Executive) KernelMode Non-Alertable
help中对这个一带而过,问下到底怎么理解?
Posted in Windows内核调试
by
wrong
on 2012-05-16
Raymond wrote:
haha, 应该是的,不好意思啊,更新控件时,脚本文件没更新好
使用!sdbgext.hwnd可以看到窗口的详细信息,比如:
0:001> !sdbgext.hwnd 00070836Window 00070836Name MinesweeperClass MinesweeperWndProc 00000000Style WS_OVERLAPPED ExStyle WS_EX_WINDOWEDGE ...
Posted in Windows内核调试
by
wrong
on 2012-05-09
Thomson wrote:应该是放在kernel mode memory 里面的,但是如果.dump包括了/h,应该会把这部分信息query出来写到dump里面。
使用/ma生成的dump那应该包含了这个句柄的信息。那有什么方法或者命令来查询这个窗口的信息呢?
Posted in Windows内核调试
by
wrong
on 2012-05-08
我现在就是有点迷糊,这个窗口句柄对象是放哪里?如果是放在内核的,那user mode的dump文件里肯定是没有的。如果是放在user mode的,那dump文件里会有,只是要想个方法把它找出来。
Posted in Windows内核调试
by
wrong
on 2012-05-07