使用windbg分析蓝屏.dmp文件

Windows驱动 专栏收录该内容
11 篇文章 0 订阅
一、windbg的配置。
1.一般WDK都包含windbg,譬如:H:\WinDDK\7600.16385.1\Debuggers\windbg.exe。
2.windbg访问符号需要SYMSRV.DLL 和 SYMSTORE.EXE,应在环境变量添加windbg安装路径。操作方法:计算机-->属性-->高级-->环境变量,在系统变量列表框双击“path”,在变量值最后加一个分号copy上你的windbg安装目录,点确定。
3.在系统变量列表框中新建一个环境变量_NT_SYMBOL_PATH 值为: SRV*c:\dbg_symbol*http://msdl.microsoft.com/download/symbols。操作方法:计算机右键-->属性-->高级-->环境变量 ,点击新建,把上面的变量名和变量值填上。
4.重启计算机。
二、提取蓝屏.dmp文件。
1.计算机-->属性-->高级系统设置-->启动与故障恢复-->设置下勾选“将事件写入系统日志”、选择“核心内存转存”,覆盖任何现有文件。
2.下次蓝屏后可到系统盘的Windows下寻找,譬如:C:\Windows\MEMORY.DMP。
三、分析.dmp
1.打开windbg,File|Symbol File Path...粘贴对应驱动文件的pdb(程序数据库,包含调试信息如,符合表等)文件。
2.File|Open Crash Dump,等加载完后输入命令:!analyze -v
3.根据错误号可以查找大致导致蓝屏的原因,蓝屏错误号

4.根据STACK_TEXT:或者FAULTING_SOURCE_CODE: 可以知道对应源码的哪一行,有pdb的前提下,否则只有地址偏移。需要对应map文件或者用IDA Pro反汇编对应的.sys文件才能找到对应位置。结合蓝屏错误号的提示分析代码。

另外,下次分析时直接打开File|Symbol File Path...添加可执行文件的pdb路径即可,符号表路径会根据环境变量自动加上不需手动指定。

  • 0
    点赞
  • 1
    评论
  • 2
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 编程工作室 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值