フルクラッシュダンプ(* .dmp)ファイルを解析してプライベートバイトデータを取得したいとします。私は、SysInternalsのVMMapが私のプライベートバイト、ヒープなどがどれだけ必要なのかを私に教えてくれることを知っています。もし私がダンプを持っていれば、それを解析してヒープ(管理ヒープ)ヒープ。私はすでにPEBを読んだ後、ヒープを歩いてこれで済んでいます。(管理されたヒープ以外の)プライベートバイトのWinDbgのクラッシュダンプを解析しますか?
私が理解できないのは、プライベートバイト(ネイティブコードのプロセスデータであると考えられるヒープ以外)を読み取る方法です。誰もクラッシュダンプからヒープ以外のプライベートバイトを解析できるように、私は正しい方向に私を指してください。
ありがとうございました。
使用状況の内訳を取得する最初のセクションで-summary
に対処:!
--- Usage Summary ---------------- RgnCount ----------- Total Size -------- %ofBusy %ofTotal
Free 170 6f958000 ( 1.743 Gb) 87.18%
<unknown> 477 6998000 (105.594 Mb) 40.21% 5.16%
Stack 417 5d00000 ( 93.000 Mb) 35.42% 4.54%
Image 253 3970000 ( 57.438 Mb) 21.87% 2.80%
Heap 20 600000 ( 6.000 Mb) 2.28% 0.29%
TEB 93 5d000 (372.000 kb) 0.14% 0.02%
Other 9 32000 (200.000 kb) 0.07% 0.01%
PEB 1 1000 ( 4.000 kb) 0.00% 0.00%
不明仮想allocsだろう。 !
-f対処:
は、実行することができ、未知のメモリ領域を一覧表示するにはVARVARをdebugger.chmで定義されている - 忙しい地域。これらの領域には、すべての仮想アロケーションブロック、SBHヒープ、カスタムアロケータからのメモリ、および他の分類には該当しないアドレス空間の他のすべての領域が含まれます。
いったんやったら!address -f:次に何をVARしますか?私はちょうどメモリアドレスの束を得る。それらを理解する最善の方法は何ですか? – Mark
質問を明確にすることはできますか?一度ロードされると、通常のコマンド(x、dX、sなど)によってダンプが保存されたメモリ内の任意の場所にアクセスできるはずです – aaron