Análisis de un archivo de volcado de Kernel-Mode con KD
KD puede analizar los archivos de volcado de memoria en modo kernel. El procesador o la versión de Windows en la que se creó el archivo de volcado de memoria no necesita coincidir con la plataforma en la que se ejecuta KD.
Inicio de KD
Para analizar un archivo de volcado, inicie KD con la opción de línea de comandos -z :
kd -ySymbolPath-iImagePath-zDumpFileName
La opción -v (modo detallado) también es útil. Para obtener una lista completa de las opciones, consulte KD Command-Line Opciones.
También puede abrir un archivo de volcado después de ejecutar el depurador mediante el comando .opendump (Archivo de volcado de memoria abierto), seguido de g (Go).
Es posible depurar varios archivos de volcado al mismo tiempo. Esto se puede hacer mediante la inclusión de varios modificadores -z en la línea de comandos (cada uno seguido de un nombre de archivo diferente) o mediante .opendump para agregar archivos de volcado adicionales como destinos del depurador. Para obtener información sobre cómo controlar una sesión de varios destinos, consulte Depuración de varios destinos.
Los archivos de volcado suelen terminar con la extensión .dmp o .mdmp. Puede usar recursos compartidos de red o nombres de archivo de convención de nomenclatura universal (UNC) para el archivo de volcado de memoria.
También es habitual que los archivos de volcado se empaquetan en un archivo CAB. Si especifica el nombre de archivo (incluida la extensión .cab) después de la opción -z o como argumento para un comando .opendump , el depurador puede leer los archivos de volcado directamente fuera del CAB. Sin embargo, si hay varios archivos de volcado almacenados en un solo CAB, el depurador solo podrá leer uno de ellos. El depurador no leerá ningún archivo adicional del CAB, incluso si eran archivos de símbolos u otros archivos asociados al archivo de volcado de memoria.
Análisis del archivo de volcado de memoria
Si está analizando un volcado de memoria del kernel o un volcado de memoria pequeño, es posible que tenga que establecer la ruta de acceso de la imagen ejecutable para que apunte a los archivos ejecutables que puedan haberse cargado en memoria en el momento del bloqueo.
El análisis de un archivo de volcado de memoria es similar al análisis de una sesión de depuración activa. Consulte la sección Referencia de comandos del depurador para obtener más información sobre qué comandos están disponibles para depurar archivos de volcado de memoria en modo kernel.
En la mayoría de los casos, debe empezar por usar !analyze. Este comando de extensión realiza análisis automático del archivo de volcado de memoria y a menudo puede dar lugar a una gran cantidad de información útil.
La comprobación de errores .bugcheck (Mostrar datos de comprobación de errores) muestra el código de comprobación de errores y sus parámetros. Busque esta comprobación de errores en la Referencia de código de comprobación de errores para obtener información sobre el error específico.
Las siguientes extensiones del depurador son especialmente útiles para analizar un volcado de memoria en modo kernel:
Para conocer las técnicas que se pueden usar para leer tipos específicos de información de un archivo de volcado de memoria, consulte Extracción de información de un archivo de volcado de memoria.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de