windbg

    1熱度

    1回答

    我不確定我是否正確理解dds esp或其64位對應部分dqs rsp的原始輸出。當我看到堆棧中的條目列表時,我傾向於認爲,無論我看到返回地址的哪個位置,都是尚未返回的代碼調用。 IOW,將它們串在一起應該形成一個很好的調用堆棧。 (現在讓我們不用爲k*一組Windbg命令而煩惱。)情況並非總是如此嗎? 由於存在一些第三方擴展,它對esp/rsp輸出進行操作,並將條目串起來看起來像一個調用堆棧,但似

    0熱度

    1回答

    我打開使用WinDbg故障轉儲,當我使用!locks命令,我得到3線輸出,每一個具有「鎖定計數」 = 0 這意味着那些線程不鎖定任何對象(從我的理解)。 如何從這一點開始調查我正在處理的問題的根本原因? (性能系統故障) 我正在調試的代碼包含託管代碼和非託管代碼。

    -1熱度

    1回答

    在C++/Windbg中,現在有Time Travel Debugging。 什麼是C#這樣做的道路? 注:我正在尋找在Visual Studio中創建了一個C#應用程序TTD。 TTD是在視覺工作室還是在windbg(或其他工具)中對我無關緊要。點是完整的TTD。 的IntelliTrace不TTD。 Intellitrace是一個事件和狀態捕獲系統。 TTD是調試轉儲的「電影」,它允許您在運行

    0熱度

    1回答

    我試圖追蹤3thParty應用程序的問題。當前正在調查的路徑是查看每個進程中創建的Section對象:rpsPdf10.mutex。 如果對象的名稱是它的預期用法的任何指示,我不知道他們爲什麼選擇一個Section對象並將其用作Mutex,但這很可能無關緊要。 使用LiveKd我發出以下命令的試圖讓節對象 0: kd>!process 0 0 3thParty.exe ... PROCESS

    2熱度

    2回答

    從3thParty供應商的部分對象命名爲rpsPdf10.mutex的內容和它的用途是通過編寫一個布爾標誌,它模仿一個信號。 使用LiveKd以及來自SO的大量幫助,我發佈了以下命令,試圖獲取此Section對象的詳細信息。 0: kd>!process 0 0 3thParty.exe ... PROCESS fffffa800ea80060 SessionId: 0 Cid: 0

    0熱度

    2回答

    例如IDA Pro的節目導入表包含在庫函數CheckTokenMembership API-MS-雙贏安全基礎l1-2-0 對於API調用https://msdn.microsoft.com/en-us/library/windows/desktop/aa376389(v=vs.85).aspx檢查MSDN信息它說,這是在ADVAPI32.DLL 但是試圖 BP ADVAPI32!CheckTok

    1熱度

    1回答

    請查找轉儲示例on Google Drive(完整轉儲但缺少有用的信息)。平臺是Win10 x64 RS2。 我想做一個完整的內存轉儲來分析我的應用程序。 我使用了DumpConfigurator Utility來設置我的環境according to MSDN。我也將轉儲鍵更改爲Ctrl +空格according to MS Technet 我想分析所有進程的調用堆棧,因此我需要!進程信息。 轉儲

    0熱度

    1回答

    我有一個卸載的模塊,我想添加無法解析的斷點,但我無法使其工作。 我已經試過 使用通配符作爲bm。這似乎不被支持 bu "RPS32!*" 明確命名的方法,但每個斷點獲取的分配ID 0.This只設置最後添加的斷點。 bu "RPS32!RpsConvertBuffer" bu "RPS32!RpsConvertFile" 明確命名方法和編號的。該ID似乎並不堅持。每個斷點再次只是重新定義了id 0

    0熱度

    1回答

    比方說,你有一個大型數據圖的.NET程序崩潰轉儲。您可以通過靜態變量MyGraph.Root訪問圖表的根。您需要根據某些數據屬性,在觀察窗口中檢查根目錄下多個級別的項目。 item.Name == "Foobar"。 你如何在Visual Studio中做到這一點?或在windbg? 如果您的項目具有唯一的類型,請在windbg中使用!dumpheap -type並搜索該類型。 Visual St

    0熱度

    1回答

    我最近正在瀏覽本文(https://www.usenix.org/legacy/event/sec09/tech/full_papers/ratanaworabhan.pdf),其中軟件「掃描堆對象 以識別有效的x86代碼序列」。在過去的幾周裏,我一直試圖讓這個工作。 到目前爲止,我已經得到足夠多的信息,可以打印rtlallocateheap參數並打印它的返回值。 RTLAllocateheap返