我正在调试过滤器驱动程序,并查看资源管理器在所述驱动程序中的位置。这是探险家:
PROCESS 86cce2a0 SessionId: 1 Cid: 0b98 Peb: 7ffdb000 ParentCid: 0aac
DirBase: 3f4ca3e0 ObjectTable: 00000000 HandleCount: 0.
Image: explorer.exe
我现在可以:
!process 86cce2a0 17
显示资源管理器的完整用户和内核模式堆栈。但是,我希望能够在WinDBG中使用UI线程/本地/堆栈窗口。有谁知道如何设置它们?如果资源管理器崩溃,WinDBG会自动正确设置这些窗口(我甚至可以看到我的资源管理器外壳扩展的源代码),所以它必须是可能的。
我试过了:
.process 86cce2a0
但是这并不会影响用户界面。
干杯!
答案 0 :(得分:1)
我已经找到了调用堆栈和本地部分。我遗漏的部分是/r,在列出!process <address> 17的主题后,可以:
.thread /r 86d6dd48
这将设置调用堆栈窗口和本地窗口。我唯一缺少的是线程窗口,但也许我可以没有它。