标签: windows kernel dump
有一个名为KeTickCount的符号可以在32位工作,但是当我在64位转储(Windows 2008)中应用它时,它不再起作用了。窗户改变了价值吗?
我能做的唯一方法是使用“.time”来获取当前的正常运行时间并将其乘以ticksPerSecond,这很麻烦且不准确。
答案 0 :(得分:2)
运行!kuser来获取windbg中的内容。
答案 1 :(得分:0)
根据互联网上的several posts,它的地址为0FFFFF78000000320h。我没试过。
0FFFFF78000000320h