windbg中memory查找以及写到文件

最新推荐文章于 2024-04-07 15:08:14 发布
最新推荐文章于 2024-04-07 15:08:14 发布
阅读量5.9k 收藏 2
点赞数 1
分类专栏: Driver
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jtujtujtu/article/details/41744679
版权

在Debug Driver时,我们经常需要用到kernel debug来抓取LOG,但是如果没有Kernel Debug,如何来抓取Debug LOG呢?

方法之一就是将log写到内存,在BSOD时,抓取kerenl memory dump文件进行分析,这里记录下这两个命令,用来查找内存块,写内存到文件。

1,

!poolfind TAG

2,

.writemem filename range


举例说明下吧,譬如在driver中,用ExAllocatePoolWithTag分配了一段0x1000长度的内存,Tag为“TSET",则在windbg窗口可以通过

!poolfind TEST 来找到这段内存块,会显示起始地址和长度信息,假设是0xf0000000,长度为0x1000。

*f0000000 :large page allocation, Tag  is TEST, size  is 0x1000 bytes


.writemem c:\test.log 0x20000000 L1000

则会将上述长度的内存写到文件c:\test.log中,可以直接查看LOG的内容了。


具体cmd可以参考:

!poolfind

http://msdn.microsoft.com/en-us/library/windows/hardware/ff564696(v=vs.85).aspx

.writemem

http://msdn.microsoft.com/en-us/library/windows/hardware/ff566176%28v=vs.85%29.aspx

jtujtujtu
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《格蠹汇编》读书笔记—windbg的使用
u012138730的专栏
05-25 5328
1.注册表设置 注册表设置 要调试的exe的 debugger 为 x86的windbg 打开注册表,在[运行] (win+ R)输入 regedit,找到下面这个路径: 比如想要调试test.exe, 就新建一个test.exe 文件夹,并新建 一个 字符串值的键,名称为 Debugger,值为 windbg所在的路径 2.打开windbg,需要设置这三个路径,但是这个...
windbg调试入门系列
10-12
Windbg是一款强大的Windows调试工具,由微软开发,被广泛应用于系统级调试、内核模式调试以及用户模式应用程序的故障排查。它提供了丰富的命令集和图形界面,使得开发者和系统管理员能够深入理解程序运行时的内部...
12.windbg-!address、!vadump、!vprot(读取内存状态)
热门推荐
hgy413的专栏
05-14 1万+
!address !address 扩展显示目标进程或目标机使用的内存信息 这个学习起来比较简单:我们直接使用!address -?就可以找到它的使用说明: 0:000> !address -? !address - prints information on the entire address space !address -?
windbg 内存操作
chengkou8481的博客
04-03 123
-----2014-04-03--------------------- k 显示栈 kb 显示栈上的前三个参数 kp 显示函数原型(如果符号文件包含私有符号) kv 在kb的基础上增加显示FPO(栈指针省略)和调用协议 dv 显示栈上局部变量 ----------------...
Windbg查看函数调用过程的内存布局
最新发布
cwei231的博客
04-07 620
我们在分析问题的时候经常会需要查看进程的栈和帧的值,下面我们就用一个简单的例子来分析一下这个过程。
Windows程序内存泄漏(Memory Leak)分析之Windbg
因热爱而执着,因执着而成功。
04-08 1732
本文来介绍一种,使用Windbg分析内存泄露的方法。 样例代码 这个样例代码循环调用一个Memory Leak的函数: #include <iostream> #include <chrono> #include <thread> class TestClass { public: char m_str[100]; }; void MemoryLeakObj() { TestClass * pObj = new TestClass; strcpy_s(
在内存文件内容(word)
04-09
通过以上讲解,我们可以理解在内存查找文件内容涉及到的操作系统原理、文件系统、内存管理、编程技巧以及调试方法等多个方面的知识。这些知识点对于系统管理员、开发者和安全专家来说都是非常重要的。
MemoScope.Net:转储和分析.Net应用程序内存(WinDbg和ClrMd的gui)
02-05
它是分析.Net进程内存的工具:它可以将应用程序的内存转储到文件,并在以后读取。 转储文件包含所有数据(对象)和线程(状态,堆栈,调用堆栈) MemoScope.Net将分析数据并帮助您查找内存泄漏和死锁感谢提供的库...
Windows调试器:第1部分:WinDbg教程
04-11
在软件开发过程,调试是不可或缺的一环,用于查找和修复程序的错误。Windows调试器,尤其是WinDbg,是一款强大的工具,广泛应用于系统级调试和故障排查。本教程将引导你深入了解WinDbg的基本概念和操作,让你...
使用dump文件分析系统蓝屏原因.docx
11-16
接着,在“启动和故障恢复”选项点击“设置”,在此界面,你可以选择生成完整内存转储(Full Memory Dump)或最小内存转储(Small Memory Dump),并指定dump文件的存储位置。 在分析dump文件时,我们会用到一...
dump文件生成使用的总结
04-18
分析dump文件的内存块,查找可能的内存泄漏或异常值。 4. **使用符号文件(PDB)** 符号文件提供了程序源代码和内存地址之间的映射,是分析dump文件的关键。确保dump文件与相应的PDB文件匹配,可以获取更精确的...
windbg 调试工具 解决电脑蓝屏
06-20
Windbg通过分析系统崩溃时产生的内存转储文件Memory Dump)来查找问题根源。它提供了一套丰富的命令集和高级调试功能,包括但不限于: 1. **内存分析**:Windbg可以读取内存转储文件,展示系统崩溃时的内存状态,...
WinDBG使用手册及相关文档总结
03-27
3. 用户界面:WinDBG的界面主要包括命令行窗口(Command Prompt)、源代码窗口(Source Window)、内存窗口(Memory Window)、寄存器窗口(Register Window)、调用堆栈窗口(Call Stack Window)等。 二、WinKD...
X64进程驱动读写_读写器_驱动程序
09-20
"X64进程驱动读写_读写器_驱动程序"的主题聚焦于64位环境下的进程访问驱动技术,特别是涉及到在64位进程对内存的直接读写操作。MDI(Memory Direct Interface)强制读写驱动则是一种特殊的驱动技术,用于绕过常规...
windbg排查大内存
weixin_30307921的博客
01-16 301
现在都是用windbg preview,安装比较麻烦了,还要配置环境变量, 并且每次分析前要先执行 !analyze - v !eeheap -gc !DumpHeap -min 500 000002b25e781000 000002b2da6f8af0 ①!analyze - v ②kP ...
WinDBG命令概览
shellching的专栏
12-30 4157
转自: http://www.cnblogs.com/awpatp/ WinDBG的大多数功能是以命令方式工作的, 本系列将介绍WinDBG的三类命令, 标准命令, 元命令和扩展命令. =============== 标准命令 =============== 标准命令用来提供适用于所有调试目标的基本调试功能. 所有基本命令都是实现在WinDBG内部的, 执行这些命令时不需要
如何将WinDBG命令的输出保存到文本文件
shellching的专栏
12-30 3756
转自:http://www.cnblogs.com/awpatp/ 从本质上说, 这个功能是WinDBG的日志功能的一个应用而已. WinDBG的log功能可以记录你在WinDBG使用的每一个命令以及其对应的输出. 那么如何开启WinDBG的日志功能呢? 首先, 可以选择从命令行启动WinDBG. 举例, 使用下面的带有-logo参数的命令: windbg.exe -log
windbbg如何把dump文件的内存数据保存到文件
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
05-05 604
在看一个dump文件时发现有一个jpg图片的数据buffer的实际大小和参数的大小不太符合。导致了0xc0000005的崩溃,所以我想把dump的图片内存写到文件,确认下图片是否是一个正常的jpg图片。 比如下面这个例子就是把从0x10de8c00开始的300个字节的内容写到d:\1111.jpg文件。 .writemem d:\1111.jpg 0x10de8c00 L300 参考资料: .writemem (Write Memory to File) - Windows dr..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值