调试逆向windbg怎么dump出一段内存?
Windbg生成转储文件的方法:
当程序崩溃时,为了日后调试和分析问题,可以使用WinDBG保存当时程序内存空间中的所有数据,生成的文件称为转储文件。步骤:
1)打开WinDBG,将其附加到crash的程序进程中。
2)输入生成转储文件的命令。
WinDBG生成转储文件的命令是。转储,可以选择不同的参数来生成不同类型的转储文件。
选项(1):/m
命令行示例:。转储/米
注意:默认选项是生成一个标准的小型转储,转储文件通常很小,便于通过邮件或其他在网络上传输。该文件包含的信息较少,只有系统信息、加载的模块(DLL)信息、进程信息和线程信息。
选项(2):/ma
命令行示例:。转储/移动授权
注意:带有尽可能多选项的小型转储(包括完整的内存内容、句柄、卸载的模块等。)有一个很大的文件,但是如果条件允许(本地调试,局域网环境),建议使用这个minidump。
选项(3):/mfhutwd
命令行示例:。转储/mFhutwd
注意:带有数据段、非共享读/写内存页面和其他有用信息的小型转储。包含通过小型转储可以获得的最多信息。是一种妥协。
那怎么自动生成转储文件呢?例如,对方美国的电脑没有。;我没有windbg,所以这里有一个窗口系统附带的工具,华生医生。
操作模式很简单:
只需运行——直接输入drwtsn32-i,就会出现这样的:提示。
这个命令真的很难记。说实话,还记得《福尔摩斯》里的华生医生吧。
如果一个程序崩溃,它会自动生成一个转储,然后进入drwtsn32运行程序:。
只需找到相应路径的DMP文件,它一般放在:以下路径中。
c:文档和设置所有用户应用数据微软沃森博士
下面的例子来自AWD。
代码:
版权所有(c)Addison-W
w10模拟器怎么获取蓝牌子?
w10模拟器得到的是蓝牌,系统重启时内存中的转储,也就是当时内存中的数据。分析这个需要两把刷子,所以你不用你不必费心去试,是吗?!!
没有打开DMP文件的工具,所以必须用imp工具导入数据库或者调试windbg软件。微软在Windows中设计了一个功能,就是蓝屏出现后,keBugCheck可以通过这种获得蓝色的品牌。