Analysieren einer Kernelmodus-Speicherabbilddatei mit KD
Kernelmodus-Speicherabbilddateien können von KD analysiert werden. Die Prozessor- oder Windows-Version, auf der die Speicherabbilddatei erstellt wurde, muss nicht mit der Plattform übereinstimmen, auf der KD ausgeführt wird.
Starten von KD
Um eine Speicherabbilddatei zu analysieren, starten Sie KD mit der Befehlszeilenoption -z :
kd -y SymbolPath -i ImagePath -z DumpFileName
Die Option -v (ausführlicher Modus) ist ebenfalls hilfreich. Eine vollständige Liste der Optionen finden Sie unter KD-Befehlszeilenoptionen.
Sie können auch eine Dumpdatei öffnen, nachdem der Debugger ausgeführt wird, indem Sie den Befehl ".opendump(Open Dump File)" gefolgt von g (Go) verwenden.
Es ist möglich, mehrere Dumpdateien gleichzeitig zu debuggen. Dazu können mehrere -z-Schalter in die Befehlszeile eingeschlossen werden (gefolgt von einem anderen Dateinamen), oder indem Sie OPENDUMP verwenden, um zusätzliche Speicherabbilddateien als Debuggerziele hinzuzufügen. Informationen zum Steuern einer Mehrzielsitzung finden Sie unter Debuggen mehrerer Ziele.
Dumpdateien enden in der Regel mit der Erweiterung .dmp oder MDMP. Sie können Netzwerkfreigaben oder UNC-Dateinamen (Universal Naming Convention) für die Speicherabbilddatei verwenden.
Es ist auch üblich, dass Dumpdateien in eine CAB-Datei verpackt werden. Wenn Sie den Dateinamen (einschließlich der Erweiterung .cab) nach der Option -z oder als Argument für einen Opendump-Befehl angeben, kann der Debugger die Dumpdateien direkt aus der CAB-Datei lesen. Wenn jedoch mehrere Speicherabbilddateien in einem einzigen CAB gespeichert sind, kann der Debugger nur einen davon lesen. Der Debugger liest keine zusätzlichen Dateien aus der CAB-Datei, auch wenn sie Symboldateien oder andere Dateien waren, die der Speicherabbilddatei zugeordnet sind.
Analysieren der Speicherabbilddatei
Wenn Sie ein Kernelspeicherabbild oder ein kleines Speicherabbild analysieren, müssen Sie möglicherweise den Pfad des ausführbaren Images so festlegen, dass er auf alle ausführbaren Dateien verweist, die zum Zeitpunkt des Absturzes möglicherweise im Speicher geladen wurden.
Die Analyse einer Speicherabbilddatei ähnelt der Analyse einer Livedebuggingsitzung. Ausführliche Informationen dazu, welche Befehle für das Debuggen von Dumpdateien im Kernelmodus verfügbar sind, finden Sie im Abschnitt "Debuggerbefehle".
In den meisten Fällen sollten Sie mit der Verwendung von !analyze beginnen. Dieser Erweiterungsbefehl führt eine automatische Analyse der Speicherabbilddatei durch und kann häufig zu einer Vielzahl nützlicher Informationen führen.
Die Bugcheck (Fehlerüberprüfungsdaten anzeigen) zeigt den Fehlerüberprüfungscode und die zugehörigen Parameter an. Suchen Sie diese Fehlerüberprüfung in der Fehlerprüfungscodereferenz nach, um Informationen zu dem spezifischen Fehler zu finden.
Die folgenden Debuggererweiterungen sind besonders hilfreich für die Analyse eines Kernelmodus-Absturzabbilds:
Techniken, die verwendet werden können, um bestimmte Arten von Informationen aus einer Dumpdatei zu lesen, finden Sie unter Extrahieren von Informationen aus einer Dumpdatei.