Delen via

Live Lokale foutopsporing

  • Artikel

Het is mogelijk om lokale kernelfoutopsporing uit te voeren door het kernelfoutopsporingsprogramma (KD) of WinDbg te starten met de opdrachtregeloptie -kl:

kd [-y SymbolPath] -kl

of

windbg [-y SymbolPath] -kl

Voor lokale kernelfoutopsporing in Windows Vista en hoger moet de computer worden opgestart met de optie /debug. Open een opdrachtpromptvenster als administrator en voer bcdedit /debug inin. Start de computer opnieuw op.

Belangrijk

Voordat u BCDEdit gebruikt om opstartgegevens te wijzigen, moet u mogelijk de Windows-beveiligingsfuncties, zoals BitLocker en Beveiligd opstarten, tijdelijk onderbreken op de test-pc. Schakel deze beveiligingsfuncties opnieuw in wanneer het testen is voltooid en de test-pc op de juiste wijze beheert wanneer de beveiligingsfuncties zijn uitgeschakeld.

Voor lokale kernelopsporing in Windows Vista en hoger moet het foutopsporingsprogramma als administrator worden uitgevoerd.

Live debugging op locatie is uiterst nuttig voor het oplossen van problemen die moeilijk te reproduceren zijn wanneer de debugger is gekoppeld; echter, alles wat kennis van tijdgevoelige informatie vereist, inclusief pakket-, IRP- en SRB-gegevens, zal waarschijnlijk niet goed werken, tenzij het probleem een vastloper of een stop is.

Houd rekening met de volgende variabelen bij het uitvoeren van lokale foutopsporing:

  • Algemene staten. Wordt de stream bijvoorbeeld uitgevoerd? Is de stream gepauzeerd?

  • Aantal pakketten. Zijn er IRP's voor de stream in de wachtrij geplaatst?

  • Wijzigingen in aantal pakketten. Beweegt de stream?

  • Wijzigingen in pakketlijsten.

  • Vastgelopen kernelprocessen.

Houd rekening met de laatste van deze.

een vastgelopen thread in LKD onderzoeken

Gebruik eerst de extensie !process 0 0 om het proces met de vastgelopen thread te identificeren. Geef dan opnieuw !proces voor meer informatie over deze thread:

lkd> !process 816a550 7
        THREAD 81705da8  Cid 0b5c.0b60  Teb: 7ffde000 Win32Thread: e1b2d890 WAIT: (Suspended)
        IRP List:
            816c9ad8: (0006,0190) Flags: 00000030  Mdl: 00000000
        Start Address kernel32!BaseProcessStartThunk (0x77e5c650)
        Win32 Start Address 0x0101c9be
        Stack Init f50bf000 Current f50bea74 Base f50bf000 Limit f50b9000 Call 0
        Priority 10 BasePriority 8 PriorityDecrement 0

De threads worden niet weergegeven, maar de stackadressen worden wel weergegeven. Het gebruik van de opdracht dds (of ddq) op het huidige adres op de stack levert een beginpunt op voor nader onderzoek, omdat hiermee wordt aangegeven welk proces wordt aangeroepen.

lkd> dds f50bea74
f50bea74  f50bebc4
f50bea78  00000000
f50bea7c  80805795 nt!KiSwapContext+0x25
f50beab4  8080ece0 nt!KeWaitForSingleObject
f50beabc  f942afda ks!CKsQueue::CancelAllIrps+0x14
f50bead8  f94406c4 ks!CKsQueue::SetDeviceState+0x170
f50beb00  f943f6f1 ks!CKsPipeSection::DistributeDeviceStateChange+0x1d
f50beb24  f943fb1e ks!CKsPipeSection::SetDeviceState+0xb2