0

procdump生成具有句柄信息的内核转储的最简单和最可移植的方式是什么(在只需将几个文件复制到目标机器的意义上)?

procdump具有-mk生成与指定进程有关的有限转储文件的选项。在 WinDbg 中报告为: Mini Kernel Dump File: Only registers and stack trace are available. 我尝试的大多数命令 ( !handle, !process 0 0) 都无法读取数据。

似乎是正式的,windbg并且kd会生成转储(这需要内核调试)。

我发现一个奇怪的解决方案是使用livekdwith -ml: Generate live dump using native support (Windows 8.1 and above only).livekd仍在寻找kd.exe,但不使用它:) 所以我可以用一个空文件来欺骗它,并且不需要内核调试。知道它是如何工作的吗?

4

1 回答 1

1

LiveKD 使用未记录的 NtSystemDebugControl API 来捕获内存转储。虽然您可以轻松地在线找到有关该 API 的信息,但最简单的方法就是使用 LiveKD。

于 2020-04-23T13:27:31.537 回答