我正在调试过滤器驱动程序,并查看浏览器卡在上述驱动程序中的位置。 这是资源管理器:

PROCESS 86cce2a0  SessionId: 1  Cid: 0b98    Peb: 7ffdb000  ParentCid: 0aac
    DirBase: 3f4ca3e0  ObjectTable: 00000000  HandleCount:   0.
    Image: explorer.exe

我现在可以:

!process 86cce2a0 17

显示资源管理器的完整用户和内核模式堆栈。 但是,我希望能够使用WinDBG中的UI线程/本地/堆栈窗口。 有人知道如何设置吗? 如果资源管理器崩溃,WinDBG会自动正确设置那些窗口(我什至可以看到我的资源管理器shell扩展的源代码),因此必须可行。

我试过了:

.process 86cce2a0

但这并没有减少UI方面的负担。

干杯!

===============>>#1 票数:1 已采纳

我已经弄清楚了调用堆栈和本地部分。 我缺少的部分是/r ,在用!process <address> 17列出线程之后,可以:

.thread /r 86d6dd48

这将设置调用堆栈窗口和本地窗口。 我唯一缺少的是线程窗口,但也许我可以没有那个。

  ask by Benj translate from so

未解决问题?本站智能推荐:

3回复

在windbg中进行内核调试时无法获得完整的用户模式堆栈跟踪

我在Windows 10主机上安装了一台虚拟Windows 7 x64机器,我使用windbg 10.0.10586.567内核进行了调试。 我正在运行我自己的应用程序,我有完整的源代码和私有符号。 每当我进入并询问应用程序线程的堆栈跟踪时,当我的应用程序的某个二进制文件被“命中”时,回溯始
2回复

使用windbg在内核模式下调试时,如何在程序的入口点中断?

我想在内核模式下调试程序,并且想破坏该程序的入口点,例如ollydbg 。 但是我不能用bp破坏它,因为程序没有启动并且符号不能被加载。 我找到了一些方法来做,但是我认为不是很好。 1.中断内核中的CreateProcess函数。 但是我不知道应该确切地中断哪个功能,我认为Creat
3回复

何时以及如何使用windbg内核调试

我发现Windbg在开发和调试过程中非常有用。 但主要是我在使用模式调试中使用windbg。 什么内核调试可以在windbg中做? 或什么时候应该使用windbg的内核调试? 在windbg中是否存在关于内核调试的问题? 提前致谢。
2回复

如何在WinDbg中列出线程(内核调试)

有没有人知道如何在内核调试时列出WinDbg中的所有线程。 我发现旧的参考文献说“〜”,但这不起作用。 具体来说,我希望找到导致事件的线程的ID,即断点。 谢谢。
1回复

使用WinDbg设置远程内核调试器

我正在使用Win7,并且还设置了bcedit debug on和net on。
2回复

是否有必要在内核模式驱动程序中设置一个断点来调试其用户模式对应部分中的功能(使用Windbg)?

我正在使用Windbg调试用户模式驱动程序(考虑USB)。 我的驱动程序软件包(调试版本,64位)同时包含内核模式和用户模式代码。该软件包已成功安装在目标计算机中,并且模块也已加载(我可以使用windbg-command验证:'lm “)。 我正在主机上以管理员模式运行Windbg,并使用1
1回复

使用WinDbg进行实时内核调试

我在主机上使用Microsoft WinDbg在目标计算机上执行内核调试。 我的目标是在主机上不断创建转储文件,直到目标计算机崩溃为止。 有没有办法做到这一点? 我可以使用.dump在主机上创建内核转储文件,但前提是我停止调试目标之后。
1回复

使用用户模式转储确定WinDbg中的线程等待时间

WinDbg中有什么方法可以确定Windows线程在什么日期/时间被WaitForSingleObjects或WaitForMultipleObjects等函数阻止? 我知道如何在内核调试中执行此操作(使用!thread ),但是我不知道如何在用户模式调试中执行此操作。
1回复

使用windbg进行内存泄漏调试,无需用户堆栈跟踪

我有一个完整的内存转储,但在这个例子中我没有用户堆栈跟踪数据库,我有最新的符号和原始二进制文件与转储一起,通常,我已经能够使用!heap -p -a address用于在分配时查看调用堆栈,但如果没有用户堆栈跟踪数据库,这将无法工作。 我的问题是,是否有另一种方法(虽然不那么直接的方法)来
1回复

无法获取本地内核符号以使ntkrpamp正确加载到WinDbg中

我正在尝试调试WinXP SP3系统上的驱动程序问题。 但是,当我连接到调试器时,会得到: *错误:找不到符号文件。 默认为ntkrpamp.exe导出符号 我的主机是WinXP x64 SP2。 我的调试器版本是6.11.0001.404(AMD64)。 目标是Win