windbg

    0热度

    1回答

    我最近正在浏览本文(https://www.usenix.org/legacy/event/sec09/tech/full_papers/ratanaworabhan.pdf),其中软件“扫描堆对象 以识别有效的x86代码序列”。在过去的几周里,我一直试图让这个工作。 到目前为止,我已经得到足够多的信息,可以打印rtlallocateheap参数并打印它的返回值。 RTLAllocateheap返

    1热度

    1回答

    我不确定我是否正确理解dds esp或其64位对应部分dqs rsp的原始输出。当我看到堆栈中的条目列表时,我倾向于认为,无论我看到返回地址的哪个位置,都是尚未返回的代码调用。 IOW,将它们串在一起应该形成一个很好的调用堆栈。 (现在让我们不用为k*一组Windbg命令而烦恼。)情况并非总是如此吗? 由于存在一些第三方扩展,它对esp/rsp输出进行操作,并将条目串起来看起来像一个调用堆栈,但似

    0热度

    1回答

    我打开使用WinDbg故障转储,当我使用!locks命令,我得到3线输出,每一个具有“锁定计数” = 0 这意味着那些线程不锁定任何对象(从我的理解)。 如何从这一点开始调查我正在处理的问题的根本原因? (性能系统故障) 我正在调试的代码包含托管代码和非托管代码。

    -1热度

    1回答

    在C++/Windbg中,现在有Time Travel Debugging。 什么是C#这样做的道路? 注:我正在寻找在Visual Studio中创建了一个C#应用程序TTD。 TTD是在视觉工作室还是在windbg(或其他工具)中对我无关紧要。点是完整的TTD。 的IntelliTrace不TTD。 Intellitrace是一个事件和状态捕获系统。 TTD是调试转储的“电影”,它允许您在运行

    0热度

    1回答

    我试图追踪3thParty应用程序的问题。当前正在调查的路径是查看每个进程中创建的Section对象:rpsPdf10.mutex。 如果对象的名称是它的预期用法的任何指示,我不知道他们为什么选择一个Section对象并将其用作Mutex,但这很可能无关紧要。 使用LiveKd我发出以下命令的试图让节对象 0: kd>!process 0 0 3thParty.exe ... PROCESS

    2热度

    2回答

    从3thParty供应商的部分对象命名为rpsPdf10.mutex的内容和它的用途是通过编写一个布尔标志,它模仿一个信号。 使用LiveKd以及来自SO的大量帮助,我发布了以下命令,试图获取此Section对象的详细信息。 0: kd>!process 0 0 3thParty.exe ... PROCESS fffffa800ea80060 SessionId: 0 Cid: 0

    0热度

    2回答

    例如IDA Pro的节目导入表包含在库函数CheckTokenMembership API-MS-双赢安全基础l1-2-0 对于API调用https://msdn.microsoft.com/en-us/library/windows/desktop/aa376389(v=vs.85).aspx检查MSDN信息它说,这是在ADVAPI32.DLL 但是试图 BP ADVAPI32!CheckTok

    1热度

    1回答

    请查找转储示例on Google Drive(完整转储但缺少有用的信息)。平台是Win10 x64 RS2。 我想做一个完整的内存转储来分析我的应用程序。 我使用了DumpConfigurator Utility来设置我的环境according to MSDN。我也将转储键更改为Ctrl +空格according to MS Technet 我想分析所有进程的调用堆栈,因此我需要!进程信息。 转储

    0热度

    1回答

    我有一个卸载的模块,我想添加无法解析的断点,但我无法使其工作。 我已经试过 使用通配符作为bm。这似乎不被支持 bu "RPS32!*" 明确命名的方法,但每个断点获取的分配ID 0.This只设置最后添加的断点。 bu "RPS32!RpsConvertBuffer" bu "RPS32!RpsConvertFile" 明确命名方法和编号的。该ID似乎并不坚持。每个断点再次只是重新定义了id 0

    0热度

    1回答

    比方说,你有一个大型数据图的.NET程序崩溃转储。您可以通过静态变量MyGraph.Root访问图表的根。您需要根据某些数据属性,在观察窗口中检查根目录下多个级别的项目。 item.Name == "Foobar"。 你如何在Visual Studio中做到这一点?或在windbg? 如果您的项目具有唯一的类型,请在windbg中使用!dumpheap -type并搜索该类型。 Visual St