问题标签 [livekd]

我知道 LiveKd 是一种创建转储以进行分析的工具。

有人可以帮助我提供一些帮助我学习如何使用 LiveKd 的链接吗？

我正在运行 Windows 7，我想在其上进行内核调试，并且不想弄乱引导加载程序。所以我已经按照这里的建议下载了 LiveKd并让它运行，看起来它正在工作。如果我理解正确，那是某种只读调试。这里提到它非常有限，甚至不能使用断点。我想问一下在这种模式下是否可以定期转储所有正在执行的指令或基本上所有在当前操作系统上发生的事件？我想有一些系统范围的 strace（Linux 用户知道）并对此进行一些统计分析。我想这取决于更多的因素，比如安装的调试符号开始能够解析地址等。

我正在使用 Windows 10。

windbg -kl首次安装 Windows 时，默认禁用本地内核调试 ( )。要启用它，您必须运行bcdedit -debug on并重新启动。（不过，据我所知，即使本地内核调试被禁用，Sysinternals LiveKd 似乎也能正常工作。）

为什么默认禁用本地内核调试？始终启用它有什么缺点吗？

我正在尝试使用 Microsoft 的“LiveKD”实用程序。我的理解是，它是必须通过串行连接使用 WinDbg 和 KD 来“实时”调试内核的替代方法（并且系统不必在调试模式下启动）。我正在使用 Windows 10；但是，直到我启用调试选项并重新启动它才起作用。

欢迎任何帮助。

livekd.exe -w

我想使用其进程 ID 从 Sysinternals 的 livekd 获取有关进程的信息。我该怎么做呢？

MSDN ( https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-process )上 WinDBG 的 !process 命令的文档说，

提供有关“进程”指定的进程的信息。文件进一步说，

进程 - 指定目标计算机上进程的十六进制地址或进程 ID。

但是尽我所能，指定 PID 什么都没有，而且我看不到找到正在运行的进程的进程结构的十六进制地址的方法。

例如，在 Sysinternals 的 Process Explorer 中，我看到一个由 svchost.exe 支持的 PID 672 进程，如下所示：

但是当我使用带有 PID 672 或其十六进制 2A0 的 !process 命令时，我什么也得不到。见下文：

但是!process svchost.exe有效（对于正在运行的该图像的某些实例）：

我也可以!process ffffdc0a4b49b180使用从 获得的信息!process svchost.exe，但我想使用进程 ID 来获取此信息。我该怎么做呢？

编辑 1：我认为我根据以下信息正确设置了符号：https ://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/symbol-path 。请参阅下面的输出。

编辑 2：

我刚刚发现 LiveKdD.sys 没有被加载。我已经重新安装了 Windows SDK，并卸载了我的防病毒软件。这并不能解决这个问题。

但是，LivekdD.sys 存在于它试图从中加载它的目录中。见下文。