Wann und wie verwenden von windbg kernel debugging

Fand ich Windbg ist sehr nützlich während der Entwicklung und des debugging.
aber meistens verwende ich in windbg verwenden Sie den Modus " Debuggen.

  1. Welche kernel-debugging in windbg?
    oder Wann sollte ich verwenden windbg kernel debugging?
  2. Gibt es ein toturial über kernel-debugging in windbg?

Vielen Dank im Voraus.

InformationsquelleAutor whunmr | 2010-01-18

  1. 10

    in der Regel mit kernel-debugging, wenn Sie brauchen, um debug-low-level-Gerätetreiber direkte Interaktion mit der hardware.

    Es ist mehr kompliziert zu Debuggen, die im kernel-Modus, unter anderem für ein live-kernel-debug-Sitzung müssen Sie den debugger starten, auf einem anderen system als die, die gedebuggt wird . für die Mehrheit der Entwickler-Benutzer-Modus ist genug, um die meiste Arbeit zu tun.

    Advanced Windows Debugging ist ein sehr gutes Buch über das Debuggen mit wndbg (beinhaltet Diskussionen über kernel-debugging).

    den dump-Analyse Website hat viele tutorials wie kernel-debugging-Szenarien

    Was ist, wenn die Anwendung in Frage ist die Ausführung in einer VM und der host-Maschine den Zugriff auf die symbol-und source-Server? Es ist eine Kombination von kernel - /user mode debugging (oder eher, Debuggen user-mode-Anwendung mit einem remote-kernel-debugger) use-case gibt, gibt es nicht?

    InformationsquelleAutor Alon

  2. 9

    den wichtigsten Unterschied zwischen Benutzer-und Kernelmodus WINDBG ist, man kann sehen, dass JEDER Prozess, der im kernel-Modus WINDBG, und alle threads. Sie nicht notwendig zu sehen bekommen, jeder stack-frame, da Sie ausgelagert wird Häufig durch den Speicher-manager.

    einige gängige Befehle, die ich Häufig verwenden.

    !Prozess 0 0
    listet alle Laufenden Prozess:

    **** NT ACTIVE PROCESS DUMP ****
PROCESS 80a02a60  Cid: 0002    Peb: 00000000  ParentCid: 0000
    DirBase: 00006e05  ObjectTable: 80a03788  TableSize: 150.
    Image: System
PROCESS 80986f40  Cid: 0012    Peb: 7ffde000  ParentCid: 0002
    DirBase: 000bd605  ObjectTable: 8098fce8  TableSize:  38.
    Image: smss.exe
PROCESS 80958020  Cid: 001a    Peb: 7ffde000  ParentCid: 0012
    DirBase: 0008b205  ObjectTable: 809782a8  TableSize: 150.
    Image: csrss.exe
PROCESS 80955040  Cid: 0020    Peb: 7ffde000  ParentCid: 0012
    DirBase: 00112005  ObjectTable: 80955ce8  TableSize:  54.
    Image: winlogon.exe
PROCESS 8094fce0  Cid: 0026    Peb: 7ffde000  ParentCid: 0020
    DirBase: 00055005  ObjectTable: 80950cc8  TableSize: 222.
    Image: services.exe
PROCESS 8094c020  Cid: 0029    Peb: 7ffde000  ParentCid: 0020
    DirBase: 000c4605  ObjectTable: 80990fe8  TableSize: 110.
    Image: lsass.exe
PROCESS 809258e0  Cid: 0044    Peb: 7ffde000  ParentCid: 0026
    DirBase: 001e5405  ObjectTable: 80925c68  TableSize:  70.
    Image: SPOOLSS.EXE

    .Prozess {x}
    Wählen Sie den Prozess, den Sie möchten, um die aktive, in der Regel gefolgt von der !threads-Befehl, um eine Liste der Prozesse den aktuellen threads.

    !Stapel 0x2 {foo.sys}
    sucht ALLE threads für call-stacks, enthalten die angegebenen Treiber.

    !poolused
    nützlich beim Debuggen von low kernel-Speicher-Situationen und alles, was Sie haben, ist ein kernel-crash-dump

    .crash
    Nützlich, wenn Sie live-debugging über serielles Kabel, und Sie möchten, dass die Ziel-Maschine schreiben, einen crash-dump

    !vm 1
    Nützlich ist die Anzeige der Speicher-Manager-Statistiken, Beispiel:

    *** Virtual Memory Usage ***
      Physical Memory:     16270   (   65080 Kb)
      Page File: \??\E:\pagefile.sys
         Current:     98304Kb Free Space:     61044Kb
         Minimum:     98304Kb Maximum:       196608Kb
      Available Pages:      5543   (   22172 Kb)
      ResAvail Pages:       6759   (   27036 Kb)
      Locked IO Pages:       112   (     448 Kb)
      Free System PTEs:    45089   (  180356 Kb)
      Free NP PTEs:         5145   (   20580 Kb)
      Free Special NP:       336   (    1344 Kb)
      Modified Pages:        714   (    2856 Kb)
      NonPagedPool Usage:    877   (    3508 Kb)
      NonPagedPool Max:     6252   (   25008 Kb)
      PagedPool 0 Usage:     729   (    2916 Kb)
      PagedPool 1 Usage:     432   (    1728 Kb)
      PagedPool 2 Usage:     436   (    1744 Kb)
      PagedPool Usage:      1597   (    6388 Kb)
      PagedPool Maximum:   13312   (   53248 Kb)
      Shared Commit:        1097   (    4388 Kb)
      Special Pool:          229   (     916 Kb)
      Shared Process:       1956   (    7824 Kb)
      PagedPool Commit:     1597   (    6388 Kb)
      Driver Commit:         828   (    3312 Kb)
      Committed pages:     21949   (   87796 Kb)
      Commit limit:        36256   (  145024 Kb)

    Nicht zu vergessen, das ALLE MÄCHTIGEN !Schlösser

    unerlässlich für die Problembehandlung bei einen Deadlock-Maschine, 

    kd> !locks
**** DUMP OF ALL RESOURCE OBJECTS ****
KD: Scanning for held locks......

Resource @ 0x80e97620    Shared 4 owning threads
     Threads: ff688da0-01<*> ff687da0-01<*> ff686da0-01<*> ff685da0-01<*> 
KD: Scanning for held locks.......................................................

Resource @ 0x80e23f38    Shared 1 owning threads
     Threads: 80ed0023-01<*> *** Actual Thread 80ed0020
KD: Scanning for held locks.

Resource @ 0x80d8b0b0    Shared 1 owning threads
     Threads: 80ed0023-01<*> *** Actual Thread 80ed0020
2263 total locks, 3 locks currently held

    mit diesem Befehl kannst du die Spur threads, die stecken geblieben sind, warten auf einen anderen thread zu release ein ERESOURCE

    danke für deine Antwort. sehr nützlich sind.

    InformationsquelleAutor Ivan Bohannon

  3. 0

    Wohl, Sie wollen nur zu debug im kernel-Modus, wenn Ihr code läuft im kernel-Modus, sprich wenn du schreibst ein Treiber oder etwas anderes, das läuft in den kernel. Oder vielleicht, wenn Sie versuchen zu lernen, mehr über Windows selbst auf einem sehr niedrigen Niveau durch die Erforschung um in den kernel und stochern und stupsen Sie an Dinge.

    Wenn Sie auf der Suche nach tutorials und andere Nachschlagewerke, die Sie Aussehen könnte, für "kd" Verweise sowie sind Sie wahrscheinlich sehr ähnlich sein. (kd ist ein Kommandozeilen-kernel-debugging-tool.)

    InformationsquelleAutor Mike Kale

Schreibe einen Kommentar