调试逆向windbg怎么dump出一段内存?
windbg生成转储文件的方法:
当程序崩溃时,为了日后调试和分析问题,可以使用windbg保存当时程序内存空间中的所有数据,生成的文件称为转储文件。步骤:
1)打开windbg,将其附加到crash的程序进程中。
2)输入生成转储文件的命令。
windbg生成转储文件的命令是。转储,可以选择不同的参数来生成不同类型的转储文件。
选项(1):/m
命令行示例:。转储/米
注意:默认选项是生成一个标准的小型转储,转储文件通常很小,便于通过邮件或其他在网络上传输。该文件包含的信息较少,只有系统信息、加载的模块(dll)信息、进程信息和线程信息。
选项(2):/ma
命令行示例:。转储/移动授权
注意:带有尽可能多选项的小型转储(包括完整的内存内容、句柄、卸载的模块等。)有一个很大的文件,但是如果条件允许(本地调试,局域网环境),建议使用这个minidump。
选项(3):/mfhutwd
命令行示例:。转储/mfhutwd
注意:带有数据段、非共享读/写内存页面和其他有用信息的小型转储。包含通过小型转储可以获得的最多信息。是一种妥协。
那怎么自动生成转储文件呢?例如,对方美国的电脑没有。;我没有windbg,所以这里有一个窗口系统附带的工具,华生医生。
操作模式很简单:
只需运行——直接输入drwtsn32-i,就会出现这样的:提示。
这个命令真的很难记。说实话,还记得《福尔摩斯》里的华生医生吧。
如果一个程序崩溃,它会自动生成一个转储,然后进入drwtsn32运行程序:。
只需找到相应路径的dmp文件,它一般放在:以下路径中。
c:文档和设置所有用户应用数据微软沃森博士
下面的例子来自awd。
代码:
版权所有(c)addison-w
w10模拟器怎么获取蓝牌子?
w10模拟器得到的是蓝牌,系统重启时内存中的转储,也就是当时内存中的数据。分析这个需要两把刷子,所以你不用你不必费心去试,是吗?!!
没有打开dmp文件的工具,所以必须用imp工具导入数据库或者调试windbg软件。微软在windows中设计了一个功能,就是蓝屏出现后,kebugcheck可以通过这种获得蓝色的品牌。
原文标题:windbg调试命令使用详解 调试逆向windbg怎么dump出一段内存?,如若转载,请注明出处:https://www.bjtdsx.com/bjtdsx5/34097.html
免责声明:此资讯系转载自合作媒体或互联网其它网站,「天地水秀」登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,文章内容仅供参考。