Análisis de un archivo de volcado en modo kernel mediante WinDbg
Puede analizar archivos de volcado de memoria en modo kernel mediante WinDbg.
Iniciar WinDbg
Los archivos de volcado suelen terminar con la extensión .dmp o .mdmp. Puede usar recursos compartidos de red o nombres de archivo de convención de nomenclatura universal para el archivo de volcado de memoria. El procesador o la versión de Windows que se usa para crear un archivo de volcado de memoria no necesita coincidir con la plataforma en la que se ejecuta KD.
Para analizar un archivo de volcado, inicie WinDbg e incluya la opción de línea de comandos -z :
windbg -y <SymbolPath> -i <ImagePath> -z <DumpFileName>
La opción -v , que es el modo detallado, también es útil. Para obtener una lista completa de las opciones, consulte Opciones de línea de comandos de WinDbg.
Si WinDbg ya se está ejecutando en modo inactivo, abra un volcado de memoria seleccionando archivo | Abra el comando de menú Volcado de memoria o presione Ctrl+D. Cuando aparezca el cuadro de diálogo Abrir volcado de memoria , escriba la ruta de acceso completa y el nombre del archivo de volcado de memoria en Nombre de archivo o use el cuadro de diálogo para seleccionar una ruta de acceso y un nombre de archivo. Después de especificar un archivo, seleccione Abrir.
O bien, abra un archivo de volcado después de que el depurador se ejecute mediante el comando .opendump (Archivo de volcado de memoria abierto), seguido del comando g (Go).
Puede depurar varios archivos de volcado al mismo tiempo. Incluya varios modificadores -z en la línea de comandos, cada uno seguido de un nombre de archivo diferente o ejecute .opendump para agregar otros archivos de volcado como destinos del depurador. Para obtener más información sobre cómo controlar una sesión de varios destinos, consulte Depuración de varios destinos.
Los archivos de volcado de memoria se pueden empaquetar en un archivo CAB. Si especifica el nombre de archivo, incluida la extensión de nombre de archivo .cab , después de la opción -z o como argumento para un comando .opendump , el depurador lee los archivos de volcado directamente.
Si hay varios archivos de volcado almacenados en un único archivo CAB, el depurador solo lee uno de ellos. El depurador no lee ningún otro archivo del CAB, incluso si hay archivos de símbolos u otros archivos asociados con el archivo de volcado.
Análisis del archivo de volcado de memoria
Para analizar un volcado de memoria del kernel o un pequeño volcado de memoria, es posible que tenga que establecer la ruta de acceso de la imagen ejecutable para que apunte a los archivos ejecutables en la memoria durante el bloqueo.
El análisis de un archivo de volcado de memoria es similar al análisis de una sesión de depuración activa. Para obtener más información sobre los comandos disponibles para depurar archivos de volcado de memoria en modo kernel, consulte la sección Referencia de comandos del depurador .
En la mayoría de los casos, empiece por usar !analyze. Este comando de extensión realiza análisis automático del archivo de volcado de memoria, que a menudo proporciona información útil.
El comando .bugcheck (Mostrar datos de comprobación de errores) muestra el código de comprobación de errores y sus parámetros. Para obtener información sobre un error específico, consulte la referencia de código de comprobación de errores.
Las siguientes extensiones del depurador son especialmente útiles para analizar un volcado de memoria en modo kernel:
Para obtener técnicas para leer tipos específicos de información de un archivo de volcado de memoria, consulte Extracción de información de un archivo de volcado de memoria.
Consulte también
Introducción a WinDbg (modo kernel)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de