读取转储文件 - Windows

时间:2018-03-23 04:12:09

标签: windows dump

我正在寻找一个文档来读取碰巧转储文件的内容,该文件恰好保存在“c:\ windows \ minidump”文件夹下。
要读取转储文件,我使用的是Microsoft的“dumpchk.exe”工具(https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/dumpchk) 。我使用了命令

  

" dumpchk C:\ Windows \ Minidump \ DumpFile.dmp |剪辑"

从转储文件中提取数据。 输出就像(它只是样本数据而不是文件中的完整内容):

- 示例START
* Microsoft(R)Windows调试器版本6.3.9600.17788 AMD64' 版权所有(c)Microsoft Corporation。保留所有权利。
加载转储文件[C:\ Windows \ Minidump \ 101517-22453-01.dmp] 迷你内核转储文件:只有寄存器和堆栈跟踪可用 符号搜索路径为: 无效*

  • 如果没有符号搜索路径,符号加载可能不可靠。 *
  • 使用.symfix让调试器选择符号路径。 *
  • 设置符号路径后,使用.reload刷新符号位置。 * ************************************************** **************************> ...... .. Bugcheck代码0000009F 参数00000000 00000004 00000000 0000012c ffffe000 3203e880 ffffd000 d21a9980 ......。**

- 样本结束

现在,有了所有输出,我真的不知道如何用简单的英语解释这个文件的内容,以便我可以在我的应用程序中使用它。

在我的追捕过程中,我找到了NirSoft的一个非常精彩的工具(像往常一样,这个家伙太棒了。他已经解决了很多你无法找到的谜题......) https://www.nirsoft.net/utils/blue_screen_view.html#DownloadLinks 我真的不知道他是如何在他的应用程序中完成以下结果的:

enter image description here

[请注意,上述工具的结果仅用作参考,以显示我要查找的内容。] 基本上,我需要找出导致崩溃的罪魁祸首驱动程序(由驱动程序引起)。因此,寻找一些文档,以便我可以理解dump的内容并解析它们。

任何细节都表示赞赏。感谢。

0 个答案:

没有答案
相关问题
最新问题