我正在使用windbg使用我在互联网上找到的脚本来调查转储文件。
该脚本启动两个命令:一个用于确定转储中存在的所有符号(至少是我认为的那个),另一个用于显示所有变量的内存地址和类型。
第一个命令:x /2 *!*
结果包含以下条目:
0042da68 <application>!CMap<int,int,CStringArray *,CStringArray *>
...
74c06448 mfc110u!CStringArray
第二个命令更复杂,并给出以下结果:
006cabe0 <application>!CMap<int,int,CStringArray *,CStringArray *>
...
006f0280 mfc110u!CStringArray
我对CMap和CStringArray对象的大小感兴趣,因此我发布了以下命令:
dt <application>!CMap<int,int,CStringArray *,CStringArray *> m_nCount 006cabe0
dt <application>!CStringArray m_nSize 006f0280
这很好,我得到了我需要的信息 这似乎也很好:
dt CStringArray m_nSize 006f0280
但是这个失败了:
dt CMap<int,int,CStringArray *,CStringArray *> m_nCount 006cabe0
这意味着我需要获取dumpfile应用程序的名称(在某些格式化过程中似乎已经消失了。)
我可以使用!analyze -v命令检索此内容(在grep上执行MODULE_NAME),但这只是获取应用程序名称的负担。
是否有人知道我需要运行的windbg命令才能知道我正在调查的转储的应用?
答案 0 :(得分:2)
可以使用|找到正在调试的可执行文件:
0:000> |
. 0 id: 13ac create name: C:\Program Files (x86)\Notepad++\notepad++.exe
但是,该可执行文件名称可能与其模块名称明显不同:
0:000> lm m note*
Browse full module list
start end module name
01150000 013bf000 notepad__ (no symbols)
从lm的输出中,我们可以看到有与模块关联的地址。如果我们能够将入口点映射到特定模块,我们将有一个解决方案。
幸运的是,$exentry为我们提供了切入点,lm接受了lm a <address>的地址,因此我们有:
0:000> lm a $exentry
Browse full module list
start end module name
01150000 013bf000 notepad__ (no symbols)
这仍然需要大量解析,但您也可以使用lm 1m方法:
0:000> lm 1ma $exentry
notepad__