Windows ドライバーのデバッグ - ステップ バイ ステップ ラボ (Echo カーネル モード)
このラボでは、WinDbg カーネル デバッガーについて説明します。 WinDbg は、エコー カーネル モードのサンプル ドライバー コードをデバッグするために使用されます。
ラボの目標
このラボには、デバッグ ツールの導入、一般的なデバッグ コマンドの説明、ブレークポイントの使用の説明、デバッグ拡張機能の使用を示す演習が含まれています。
このラボでは、ライブ カーネル デバッグ接続を使用して、次の操作を確認します。
- Windows デバッガー コマンドを使用する
- 標準コマンド (呼び出し履歴、変数、スレッド、IRQL) を使用する
- 高度なドライバー デバッグ コマンドを使用する (!コマンド)
- シンボルを使用する
- ライブ デバッグでブレークポイントを設定する
- 呼び出し履歴の表示
- プラグ アンド プレイ デバイス ツリーを表示する
- スレッドとプロセスのコンテキストを操作する
メモWindows デバッガーを使用する場合は、ユーザー モードデバッグとカーネル モード デバッグの 2 種類のデバッグを実行できます。
ユーザー モード - アプリケーションとサブシステムは、ユーザー モードでコンピューター上で実行されます。 ユーザー モードで実行されるプロセスは、独自の仮想アドレス空間内で実行されます。 これらは、システムの多くの部分に直接アクセスすることが制限されています。これには、システム ハードウェア、使用するために割り当てられていないメモリ、システムの整合性を損なう可能性があるシステムのその他の部分などが含まれます。 ユーザー モードで実行されるプロセスは、システムやその他のユーザー モード プロセスから効果的に分離されるため、これらのリソースに干渉することはできません。
カーネル モード - カーネル モードは、オペレーティング システムと特権プログラムを実行するプロセッサ アクセス モードです。 カーネル モード コードには、システムの任意の部分にアクセスするためのアクセス許可があり、ユーザー モード コードのように制限されません。 ユーザー モードまたはカーネル モードで実行されている他のプロセスの任意の部分にアクセスできます。 コア OS 機能の大部分と多くのハードウェア デバイス ドライバーは、カーネル モードで実行されます。
このラボでは、多くのデバイス ドライバーのデバッグに使用されるメソッドであるため、カーネル モードのデバッグに重点を置きます。
この演習では、ユーザー モードとカーネル モードの両方のデバッグ時に頻繁に使用されるデバッグ コマンドについて説明します。 この演習では、カーネル モードデバッグに使用されるデバッグ拡張機能 ("!commands" とも呼ばれます) についても説明します。
ラボのセットアップ
ラボを完了するには、次のハードウェアが必要です。
- Windows 10を実行しているノート PC またはデスクトップ コンピューター (ホスト)
- Windows 10を実行しているノート PC またはデスクトップ コンピューター (ターゲット)
- 2 台の PC を接続するためのネットワーク ハブ/ルーターとネットワーク ケーブル
- シンボル ファイルをダウンロードするためのインターネットへのアクセス
ラボを完了するには、次のソフトウェアが必要です。
- Visual Studio
- Windows 10 用 Windows ソフトウェア開発キット (SDK)
- Windows 10用Windows ドライバー キット (WDK)
- Windows 10のサンプル エコー ドライバー
ラボには、次の 11 のセクションがあります。
- セクション 1: カーネル モード WinDbg セッションにConnectする
- セクション 2: カーネル モードのデバッグ コマンドと手法
- セクション 3: KMDF エコー ドライバーをダウンロードしてビルドする
- セクション 4: ターゲット システムに KMDF エコー ドライバー サンプルをインストールする
- セクション 5: WinDbg を使用してドライバーに関する情報を表示する
- セクション 6: デバイス ツリー情報プラグ アンド プレイ表示する
- セクション 7: ブレークポイントとソース コードを操作する
- セクション 8: 変数と呼び出し履歴を表示する
- セクション 9: プロセスとスレッドを表示する
- セクション 10: IRQL、Registers、および WinDbg セッションの終了
- セクション 11: デバッグ リソースのWindows
セクション 1: カーネル モード WinDbg セッションにConnectする
セクション 1 では、ホストとターゲット システムでネットワーク デバッグを構成します。
このラボの PC は、カーネル デバッグにイーサネット ネットワーク接続を使用するように構成する必要があります。
このラボでは、2 台の PC を使用します。 Windowsデバッガーはホスト システムで実行され、KMDF エコー ドライバーはターゲット システムで実行されます。
2 台の PC を接続するには、ネットワーク ハブ/ルーターとネットワーク ケーブルを使用します。
カーネル モード アプリケーションを操作し、WinDbg を使用するには、イーサネット トランスポート経由で KDNET を使用することをお勧めします。 イーサネット トランスポート プロトコルの使用方法については、「WinDbg を使用したはじめに (カーネル モード)」を参照してください。 ターゲット コンピューターのセットアップの詳細については、「 手動ドライバー展開用のコンピューターの準備 」および 「KDNET ネットワーク カーネル のデバッグを自動的に設定する」を参照してください。
イーサネットを使用してカーネル モードデバッグを構成する
ターゲット システムでカーネル モードデバッグを有効にするには、次の手順を実行します。
<- ホスト システム上
- ホスト システムでコマンド プロンプトを開き、「 ipconfig」 と入力して IP アドレスを確認します。
C:\>ipconfig
Windows IP Configuration
Ethernet adapter Ethernet:
Connection-specific DNS Suffix . :
Link-local IPv6 Address . . . . . : fe80::c8b6:db13:d1e8:b13b%3
Autoconfiguration IPv4 Address. . : 169.182.1.1
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . :
- ホスト システムの IP アドレス _______________
-> ターゲット システム上
- ターゲット システムでコマンド プロンプトを開き、 ping コマンドを使用して、2 つのシステム間のネットワーク接続を確認します。 サンプル出力に示されている 169.182.1.1 ではなく、記録したホスト システムの実際の IP アドレスを使用します。
C:\> ping 169.182.1.1
Pinging 169.182.1.1 with 32 bytes of data:
Reply from 169.182.1.1: bytes=32 time=1ms TTL=255
Reply from 169.182.1.1: bytes=32 time<1ms TTL=255
Reply from 169.182.1.1: bytes=32 time<1ms TTL=255
Reply from 169.182.1.1: bytes=32 time<1ms TTL=255
Ping statistics for 169.182.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
次の手順を実行して、ターゲット システムでカーネル モードデバッグを有効にします。
重要
BCDEdit を使用してブート情報を変更する前に、テスト PC で BitLocker やセキュア ブートなどのWindowsセキュリティ機能を一時的に中断する必要がある場合があります。 テストが完了し、セキュリティ機能が無効になっている場合は、テスト PC を適切に管理するときに、これらのセキュリティ機能を再度有効にします。
ターゲット コンピューターで、管理者としてコマンド プロンプト ウィンドウを開きます。 デバッグを有効にするには、次のコマンドを入力します。
C:\> bcdedit /set {default} DEBUG YESこのコマンドを入力して、テスト署名を有効にします。
C:\> bcdedit /set TESTSIGNING ONホスト システムの IP アドレスを設定するには、このコマンドを入力します。 表示されたホスト システムではなく、前に記録したホスト システムの IP アドレスを使用します。
C:\> bcdedit /dbgsettings net hostip:192.168.1.1 port:50000 key:2steg4fzbj2sz.23418vzkd4ko3.1g34ou07z4pev.1sp3yo9yz874p
警告 接続のセキュリティを強化し、ランダム クライアント デバッガー接続要求のリスクを減らすには、自動生成されたランダム キーの使用を検討してください。 詳細については、「 KDNET ネットワーク カーネル のデバッグを自動的に設定する」を参照してください。
このコマンドを入力して、dbgsettings が正しく設定されていることを確認します。
C:\> bcdedit /dbgsettings key 2steg4fzbj2sz.23418vzkd4ko3.1g34ou07z4pev.1sp3yo9yz874p debugtype NET hostip 169.168.1.1 port 50000 dhcp Yes The operation completed successfully.
注:
ファイアウォールとデバッガー
ファイアウォールからポップアップ メッセージを受信し、デバッガーを使用する場合は、 3 つのボックスをすべて オンにします。
<- ホスト システム上
ホスト コンピューターで、管理者としてコマンド プロンプト ウィンドウを開きます。 Windows キットのインストールの一部としてインストールされた Windows Driver Kit (WDK) の x64 バージョンのWinDbg.exeを使用します。 既定では、ここに配置されています。
C:\> Cd C:\Program Files(x86)\Windows Kits\10\Debuggers\x64
注意
このラボでは、両方の PC がターゲットとホストの両方で 64 ビット バージョンのWindowsを実行していることを前提としています。 そうでない場合は、ターゲットが実行されているのと同じツールの "ビット数" をホスト上で実行することをお勧めします。 たとえば、ターゲットで 32 ビット Windowsが実行されている場合は、ホストで 32 バージョンのデバッガーを実行します。 詳細については、「 32 ビットまたは 64 ビット デバッグ ツールの選択」を参照してください。
次のコマンドを使用して、リモート ユーザー デバッグで WinDbg を起動します。 キーとポートの値は、ターゲットで BCDEdit を使用して前に設定した値と一致します。
WinDbg –k net:port=50000,key=2steg4fzbj2sz.23418vzkd4ko3.1g34ou07z4pev.1sp3yo9yz874p
->ターゲット システム上
ターゲット システムを再起動します。
<-ホスト システム上
1 ~ 2 分で、デバッグ出力がホスト システムに表示されます。
Microsoft (R) Windows Debugger Version 10.0.17074.1002 AMD64
Copyright (c) Microsoft Corporation. All rights reserved.
Using NET for debugging
Opened WinSock 2.0
Waiting to reconnect...
Connected to target 169.182.1.1 on port 50005 on local IP 169.182.1.2
You can get the target MAC address by running .kdtargetmac command.
Connected to Windows 10 16299 x64 target at (Wed Feb 28 17:16:23.051 2018 (UTC - 8:00)), ptr64 TRUE
Kernel Debugger connection established. (Initial Breakpoint requested)
Symbol search path is: srv*
Executable search path is:
Windows 10 Kernel Version 16299 MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 16299.15.amd64fre.rs3_release.170928-1534
Machine Name:
Kernel base = 0xfffff800`9540d000 PsLoadedModuleList = 0xfffff800`95774110
Debug session time: Wed Feb 28 17:16:23.816 2018 (UTC - 8:00)
System Uptime: 0 days 0:00:20.534
デバッガー コマンド ウィンドウは、WinDbg のプライマリ デバッグ情報ウィンドウです。 デバッガー コマンドを入力し、このウィンドウでコマンド出力を表示できます。
[デバッガー コマンド] ウィンドウは 2 つのペインに分割されます。 ウィンドウの下部にある小さなウィンドウ (コマンド入力ウィンドウ) にコマンドを入力し、ウィンドウの上部にある大きなウィンドウにコマンド出力を表示します。
コマンド入力ウィンドウで、上方向キーと下方向キーを使用して、コマンド履歴をスクロールします。 コマンドが表示されたら、コマンドを編集するか、 Enter キー を押してコマンドを実行できます。
セクション 2: カーネル モードのデバッグ コマンドと手法
セクション 2 では、デバッグ コマンドを使用して、ターゲット システムに関する情報を表示します。
<- ホスト システム上
.prefer_dmlを使用してデバッガー マークアップ言語 (DML) を有効にする
一部のデバッグ コマンドでは、デバッガー マークアップ言語を使用してテキストが表示されます。この言語を選択すると、より多くの情報をすばやく収集できます。
- WinDBg で Ctrl + Break (スクロール ロック) を使用して、ターゲット システムで実行されているコードに分割します。 ターゲット システムが応答するまでに少し時間がかかる場合があります。
- デバッガー コマンド ウィンドウで DML を有効にするには、次のコマンドを入力します。
0: kd> .prefer_dml 1
DML versions of commands on by default
.hh を使用してヘルプを表示する
参照コマンド ヘルプには 、.hh コマンドを使用してアクセスできます。
- 次のコマンドを入力して、 .prefer_dmlのコマンド リファレンス ヘルプを表示します。
0: kd> .hh .prefer_dml
デバッガー ヘルプ ファイルには、 .prefer_dml コマンドのヘルプが表示されます。
ターゲット・システム上のWindowsのバージョンを表示する
- WinDbg ウィンドウで vertarget (ターゲット コンピューターのバージョンの表示) コマンドを入力して、ターゲット システムの詳細なバージョン情報を表示します。
0: kd> vertarget
Windows 10 Kernel Version 9926 MP (4 procs) Free x64
Product: WinNt, suite: TerminalServer SingleUserTS
Built by: 9926.0.amd64fre.fbl_awesome1501.150119-1648
Machine Name: ""
Kernel base = 0xfffff801`8d283000 PsLoadedModuleList = 0xfffff801`8d58aef0
Debug session time: Fri Feb 20 10:15:17.807 2015 (UTC - 8:00)
System Uptime: 0 days 01:31:58.931
読み込まれたモジュールを一覧表示する
- WinDbg ウィンドウで lm (List Loaded Modules) コマンドを入力して、読み込まれたモジュールを表示することで、適切なカーネル モード プロセスを使用していることを確認できます。
0: Kd> lm
start end module name
fffff801`09200000 fffff801`0925f000 volmgrx (no symbols)
fffff801`09261000 fffff801`092de000 mcupdate_GenuineIntel (no symbols)
fffff801`092de000 fffff801`092ec000 werkernel (export symbols) werkernel.sys
fffff801`092ec000 fffff801`0934d000 CLFS (export symbols) CLFS.SYS
fffff801`0934d000 fffff801`0936f000 tm (export symbols) tm.sys
fffff801`0936f000 fffff801`09384000 PSHED (export symbols) PSHED.dll
fffff801`09384000 fffff801`0938e000 BOOTVID (export symbols) BOOTVID.dll
fffff801`0938e000 fffff801`093f7000 spaceport (no symbols)
fffff801`09400000 fffff801`094cf000 Wdf01000 (no symbols)
fffff801`094d9000 fffff801`09561000 CI (export symbols) CI.dll
...
メモ 省略された出力は "... で示されます。 」を参照してください。
- 特定のモジュールに関する詳細情報を要求するには、次のように v (詳細) オプションを使用します。
0: Kd> lm v m tcpip
Browse full module list
start end module name
fffff801`09eeb000 fffff801`0a157000 tcpip (no symbols)
Loaded symbol image file: tcpip.sys
Image path: \SystemRoot\System32\drivers\tcpip.sys
Image name: tcpip.sys
Browse all global symbols functions data
Timestamp: Sun Nov 09 18:59:03 2014 (546029F7)
CheckSum: 00263DB1
ImageSize: 0026C000
Translations: 0000.04b0 0000.04e4 0409.04b0 0409.04e4
Unable to enumerate user-mode unloaded modules, Win32 error 0n30
- シンボル パスと読み込まれたシンボルをまだ設定していないため、デバッガーで使用できる情報は限られています。
セクション 3: KMDF エコー ドライバーをダウンロードしてビルドする
セクション 3 では、KMDF エコー ドライバーをダウンロードしてビルドします。
通常、WinDbg を使用する場合は、独自のドライバー コードを使用します。 WinDbg 操作に慣れるために、KMDF テンプレート "Echo" サンプル ドライバーが使用されます。 利用可能なソース コードを使用すると、WinDbg に表示される情報も理解しやすくなります。 さらに、このサンプルは、ネイティブ カーネル モード コードを 1 ステップ実行する方法を示すために使用されます。 この手法は、複雑なカーネル モード コードの問題をデバッグする場合に非常に役立ちます。
Echo サンプル オーディオ ドライバーをダウンロードしてビルドするには、次の手順を実行します。
GitHubから KMDF エコー サンプルをダウンロードして抽出する
ブラウザーを使用して、ここでGitHubエコー サンプルを表示できます。
https://github.com/Microsoft/Windows-driver-samples/tree/main/general/echo/kmdf
サンプルについては、次のページを参照してください。
https://github.com/microsoft/Windows-driver-samples/blob/main/general/echo/kmdf/README.md
Windows ドライバーのサンプルはすべて、ここで参照できます。
https://github.com/Microsoft/Windows-driver-samples
KMDF エコー サンプルは、全般フォルダーにあります。
a. このラボでは、ドライバーのサンプルを 1 つの zip ファイルでダウンロードする方法を示します。
https://github.com/Microsoft/Windows-driver-samples/archive/master.zip
b. master.zip ファイルをローカル ハード ドライブにダウンロードします。
c. Windows-driver-samples-master.zipを長押し (または右クリック) し、[すべて抽出] を選択します。 新しいフォルダーを指定するか、抽出されたファイルを格納する既存のフォルダーを参照します。 たとえば、ファイルを抽出する新しいフォルダーとして C:\DriverSamples\ を指定できます。
d. ファイルが抽出されたら、次のサブフォルダーに移動します。
C:\DriverSamples\general\echo\kmdf
Visual Studioでドライバー ソリューションを開きます
Microsoft Visual Studioで、FileOpen>>Project/Solution... を選択し、抽出されたファイル (C:\DriverSamples\general\echo\kmdf など) を含むフォルダーに移動します。 kmdfecho ソリューション ファイルをダブルクリックして開きます。
Visual Studioで、ソリューション エクスプローラーを見つけます。 (まだ開いていない場合は、[表示] メニューからソリューション エクスプローラーを選択します)。ソリューション エクスプローラーでは、3 つのプロジェクトを含む 1 つのソリューションを確認できます。
サンプルの構成とプラットフォームを設定する
ソリューション エクスプローラーで、ソリューション 'kmdfecho' (3 プロジェクト) を長押し (または右クリック) し、Configuration Managerを選択します。 構成とプラットフォームの設定が 3 つのプロジェクトで同じであることを確認します。 既定では、構成は "Win10 デバッグ" に設定され、プラットフォームはすべてのプロジェクトに対して "Win64" に設定されます。 1 つのプロジェクトに対して構成やプラットフォームの変更を行う場合は、残りの 3 つのプロジェクトで同じ変更を行う必要があります。
ランタイム ライブラリを設定する
ランタイム ライブラリを設定する - エコー ドライバーのプロパティ ページを開き、 C/C++>Code Generation を見つけます。 ランタイム ライブラリを DLL バージョンから DLL 以外のバージョンに変更します。 この設定がない場合は、ターゲット コンピューターにMSVC ランタイムを個別にインストールする必要があります。
ドライバーの署名を確認する
また、ドライバーのプロパティで、ドライバー署名モードが "Test Sign>" に設定されていることを確認します。 これは、ドライバーに署名Windows必要があるために必要です。
Visual Studioを使用してサンプルをビルドする
Visual Studioで、[BuildBuild> ソリューション] を選択します。
すべて問題がなければ、ビルド ウィンドウに、3 つのプロジェクトすべてのビルドが成功したことを示すメッセージが表示されます。
ビルドされたドライバー ファイルを見つける
エクスプローラーで、サンプル用に抽出されたファイルを含むフォルダーに移動します。 たとえば、 C:\DriverSamples\general\echo\kmdf に移動します (前に指定したフォルダーの場合)。 そのフォルダー内では、コンパイルされたドライバー ファイルの場所は、Configuration Managerで選択した構成とプラットフォームの設定によって異なります。 たとえば、既定の設定を変更せずに残した場合、コンパイルされたドライバー ファイルは、64 ビットのデバッグ ビルドの \x64\Debug という名前のフォルダーに保存されます。
Autosync ドライバーのビルドファイルを含むフォルダーに移動します。
C:\DriverSamples\general\echo\kmdf\driver\AutoSync\x64\Debug。
フォルダーには、次のファイルが含まれている必要があります。
ファイル 説明 Echo.sys ドライバー ファイル。 Echo.inf ドライバーのインストールに必要な情報を含む情報 (INF) ファイル。 さらに、echoapp.exe ファイルがビルドされ、 C:\DriverSamples\general\echo\kmdf\exe\x64\Debug
ファイル 説明 EchoApp.exe echo.sys ドライバーと通信するコマンド プロンプト実行可能テスト ファイル。 USB サム ドライブを見つけるか、ネットワーク共有を設定して、ビルドされたドライバー ファイルとテスト EchoApp をホストからターゲット システムにコピーします。
次のセクションでは、コードをターゲット システムにコピーし、ドライバーをインストールしてテストします。
セクション 4: KMDF エコー ドライバー サンプルをターゲット システムにインストールする
セクション 4 では、devcon を使用してエコー サンプル ドライバーをインストールします。
ドライバーをインストールするコンピューターは、 ターゲット コンピューター または テスト コンピューターと呼ばれます。 通常、これはドライバー パッケージを開発してビルドするコンピューターとは別のコンピューターです。 ドライバーを開発してビルドするコンピューターは、 ホスト コンピューターと呼ばれます。
ドライバー パッケージをターゲット コンピューターに移動し、ドライバーをインストールするプロセスは、ドライバーの 展開 と呼ばれます。
テスト署名済みドライバーを展開する前に、テスト署名を有効にしてターゲット コンピューターを準備する必要があります。 また、WDK インストールで DevCon ツールを見つけて、ターゲット システムにコピーする必要もあります。
ターゲット システムにドライバーをインストールするには、次の手順に従います。
-> ターゲット システム上
テスト署名済みドライバーを有効にする
テスト署名されたドライバーを実行する機能を有効にします。
a. Windows 設定を開きます。
b. [更新とセキュリティ] で、[回復] を選択 します。
c. [高度なスタートアップ] で、[ 今すぐ再起動] を選択します。
d. PC が再起動したら、[ スタートアップ オプション] を選択します。 Windows 10で、[TroubleshootAdvanced>optionsStartup> 設定] を選択し、[再起動] ボタンを選択します。
e. F7 キーを押して [ドライバー署名の強制を無効にする] を選択します。
f. ターゲット コンピューターを再起動します。
<- ホスト システム上
WDK インストールの [ツール] フォルダーに移動し、DevCon ツールを見つけます。 たとえば、次のフォルダーを探します。
C:\Program Files (x86)\Windows Kits\10\Tools\x64\devcon.exe
ビルドされたドライバー パッケージ ( C:\EchoDriver など) のターゲットにフォルダーを作成します。 devcon.exeをターゲット システムにコピーします。 ホスト システム上の .cer 証明書を見つけます。これは、ビルドされたドライバー ファイルを含むフォルダー内のホスト コンピューター上の同じフォルダーにあります。 ホスト コンピューターで前述したビルド 済みドライバーからすべてのファイルをコピーし、ターゲット コンピューターで作成したのと同じフォルダーに保存します。
-> ターゲット システム上
ターゲット コンピューターで、証明書ファイルを選択して保持 (または右クリック) し、[ インストール] を選択し、指示に従ってテスト証明書をインストールします。
ターゲット コンピューターを設定するための詳細な手順が必要な場合は、「 手動ドライバー展開用のコンピューターの準備」を参照してください。
-> ターゲット システム上
ドライバーのインストール
次の手順では、サンプル ドライバーをインストールしてテストする方法を示します。 ここで示しているのは、ドライバーのインストールに使う devcon ツールの一般的な構文です。
devcon install <INF ファイル><ハードウェア ID>
このドライバーのインストールに必要な INF ファイルは echo.inf です。 inf ファイルには、echo.sysをインストールするためのハードウェア ID が含 まれています 。 エコー サンプルの場合、ハードウェア ID は root\ECHO です。
ターゲット コンピューターで、管理者としてコマンド プロンプト ウィンドウを開きます。 ドライバー パッケージ フォルダーに移動し、次のコマンドを入力します。
devcon install echo.inf root\ECHOdevcon が認識されないというエラー メッセージが表示される場合は、devcon ツールにパスを追加してみてください。 たとえば、 C:\Tools というフォルダーにコピーした場合は、次のコマンドを使用してみてください。
c:\tools\devcon install echo.inf root\ECHO テスト ドライバーが署名されていないドライバーであることを示すダイアログ ボックスが表示されます。 [かまわず続行] を選択して続行します。
ヒント
インストールに問題がある場合は、次のファイルで詳細を確認してください。
%windir%\inf\setupapi.dev.log
サンプル ドライバーが正常にインストールされたら、テストする準備ができました。
デバイス マネージャーでドライバーを確認する
ターゲット コンピューターのコマンド プロンプト ウィンドウで、「devmgmt open デバイス マネージャー」と入力します。 デバイス マネージャーで、[表示] メニューの [デバイスの種類] を選択します。 デバイス ツリーで、 サンプル デバイス ノードでサンプル WDF エコー ドライバー を見つけます。
ドライバーをテストする
echoapp と入力してテスト エコー アプリを起動し、ドライバーが機能していることを確認します。
C:\Samples\KMDF_Echo_Sample> echoapp
DevicePath: \\?\root#sample#0005#{cdc35b6e-0be4-4936-bf5f-5537380a7c1a}
Opened device successfully
512 Pattern Bytes Written successfully
512 Pattern Bytes Read successfully
Pattern Verified successfully
30720 Pattern Bytes Written successfully
30720 Pattern Bytes Read successfully
Pattern Verified successfully
セクション 5: WinDbg を使用してドライバーに関する情報を表示する
セクション 5 では、シンボル パスを設定し、カーネル デバッガー コマンドを使用して KMDF エコー サンプル ドライバーに関する情報を表示します。
次の手順を実行して、ドライバーに関する情報を表示します。
<-ホスト システム上
デバッガーを閉じた場合は、管理者コマンド プロンプト ウィンドウで次のコマンドを使用して再度開きます。
WinDbg -k net:port=50000,key=2steg4fzbj2sz.23418vzkd4ko3.1g34ou07z4pev.1sp3yo9yz874pCtrl + Break (スクロール ロック) を使用して、ターゲット システムで実行されているコードに分割します。
シンボル パスの設定
WinDbg 環境で Microsoft シンボル サーバーへのシンボル パスを設定するには、 .symfix コマンドを使用します。
0: kd> .symfixローカル シンボルを使用するローカル シンボルの場所を追加するには、 .sympath+ と .reload /f を使用してパスを追加します。
0: kd> .sympath+ C:\DriverSamples\general\echo\kmdf 0: kd> .reload /fメモ/f force オプションを指定した .reload コマンドは、指定したモジュールのすべてのシンボル情報を削除し、シンボルを再読み込みします。 場合によっては、このコマンドによってモジュール自体の再読み込みまたはアンロードも行われます。
メモ WinDbg で提供される高度な機能を使用するには、適切なシンボルを読み込む必要があります。 シンボルが適切に構成されていない場合は、シンボルに依存する機能を使用しようとしたときに、そのシンボルが使用できないことを示すメッセージが表示されます。
0:000> dv
Unable to enumerate locals, HRESULT 0x80004005
Private symbols (symbols.pri) are required for locals.
Type “.hh dbgerr005” for details.
注:
シンボル サーバー
シンボルの操作に使用できるさまざまな方法があります。 多くの場合、必要に応じて Microsoft が提供するシンボル サーバーからシンボルにアクセスするように PC を構成できます。 このチュートリアルでは、この方法が使用されることを前提としています。 環境内のシンボルが別の場所にある場合は、その場所を使用するように手順を変更します。 詳細については、「Windows デバッガーのシンボル パス」を参照してください。
注:
ソース コードシンボルの要件を理解する
ソース デバッグを実行するには、チェック済み (デバッグ) バージョンのバイナリをビルドする必要があります。 コンパイラはシンボル ファイル (.pdb ファイル) を作成します。 これらのシンボル ファイルは、バイナリ命令がソース行にどのように対応するかをデバッガーに示します。 実際のソース ファイル自体もデバッガーからアクセスできる必要があります。
シンボル ファイルには、ソース コードのテキストが含まれていません。 デバッグの場合、リンカーがコードを最適化しない場合に最適です。 ソースデバッグとローカル変数へのアクセスは、コードが最適化されている場合、より困難であり、場合によってはほぼ不可能です。 ローカル変数またはソース行の表示に問題がある場合は、次のビルド オプションを設定します。
set COMPILE_DEBUG=1
set ENABLE_OPTIMIZER=0
デバッガーのコマンド領域に次のように入力して、エコー ドライバーに関する情報を表示します。
0: kd> lm m echo* v Browse full module list start end module name fffff801`4ae80000 fffff801`4ae89000 ECHO (private pdb symbols) C:\Samples\KMDF_ECHO_SAMPLE\echo.pdb Loaded symbol image file: ECHO.sys Image path: \SystemRoot\system32\DRIVERS\ECHO.sys Image name: ECHO.sys ...詳細については、 lm を参照してください。
前prefer_dml =1 に設定したため、出力の一部の要素は、選択できるホット リンクです。 デバッグ出力で [ すべてのグローバル シンボルの参照] リンク を選択すると、文字 "a" で始まる項目シンボルに関する情報が表示されます。
0: kd> x /D Echo!a*結局のところ、エコー サンプルには文字 "a" で始まるシンボルは含まれていないので、Echo で始まるエコー ドライバーに関連付けられているすべてのシンボルに関する情報を表示するように入力
x ECHO!Echo*します。0: kd> x ECHO!Echo* fffff801`0bf95690 ECHO!EchoEvtIoQueueContextDestroy (void *) fffff801`0bf95000 ECHO!EchoEvtDeviceSelfManagedIoStart (struct WDFDEVICE__ *) fffff801`0bf95ac0 ECHO!EchoEvtTimerFunc (struct WDFTIMER__ *) fffff801`0bf9b120 ECHO!EchoEvtDeviceSelfManagedIoSuspend (struct WDFDEVICE__ *) ...詳細については、 x (シンボルの検査) を参照してください。
!lmi 拡張機能には、モジュールに関する詳細情報が表示されます。 「!lmi echo」と入力します。 出力は、次に示すテキストのようになります。
0: kd> !lmi echo Loaded Module Info: [echo] Module: ECHO Base Address: fffff8010bf94000 Image Name: ECHO.sys …次に示すように、 !dh 拡張子を使用してヘッダー情報を表示します。
0: kd> !dh echo File Type: EXECUTABLE IMAGE FILE HEADER VALUES 14C machine (i386) 6 number of sections 54AD8A42 time date stamp Wed Jan 07 11:34:26 2015 ...デバッグ マスクの設定
ターゲット システムのすべてのデバッグ メッセージがデバッガーに表示されるように、既定のデバッグ ビット マスクを変更するには、次のように入力します。
0: kd> ed nt!Kd_DEFAULT_MASK 0xFFFFFFFF一部のドライバーでは、0xFFFFFFFFのマスクを使用すると追加情報が表示されます。 表示される情報の量を減らす場合は、マスクを0x00000000に設定します。
0: kd> ed nt!Kd_DEFAULT_MASK 0x00000000dd コマンドを使用して、すべてのデバッガー メッセージを表示するようにマスクが設定されていることを確認します。
0: kd> dd nt!kd_DEFAULT_MASK fffff802`bb4057c0 ffffffff 00000000 00000000 00000000 fffff802`bb4057d0 00000000 00000000 00000000 00000000 fffff802`bb4057e0 00000001 00000000 00000000 00000000 fffff802`bb4057f0 00000000 00000000 00000000 00000000 fffff802`bb405800 00000000 00000000 00000000 00000000 fffff802`bb405810 00000000 00000000 00000000 00000000 fffff802`bb405820 00000000 00000000 00000000 00000000 fffff802`bb405830 00000000 00000000 00000000 00000000
セクション 6: プラグ アンド プレイデバイス ツリー情報の表示
セクション 6 では、エコー サンプル デバイス ドライバーと、それが プラグ アンド プレイ デバイス ツリー内のどこに存在するかについての情報を表示します。
プラグ アンド プレイ デバイス ツリーのデバイス ドライバーに関する情報は、トラブルシューティングに役立ちます。 たとえば、デバイス ドライバーがデバイス ツリーに常駐していない場合、デバイス ドライバーのインストールに問題が発生する可能性があります。
デバイス ノードデバッグ拡張機能の詳細については、「 !devnode」を参照してください。
<-ホスト システム上
プラグ アンド プレイ デバイス ツリー内のすべてのデバイス ノードを表示するには、!devnode 0 1 コマンドを入力します。
0: kd> !devnode 0 1 Dumping IopRootDeviceNode (= 0xffffe0005a3a8d30) DevNode 0xffffe0005a3a8d30 for PDO 0xffffe0005a3a9e50 InstancePath is "HTREE\ROOT\0" State = DeviceNodeStarted (0x308) Previous State = DeviceNodeEnumerateCompletion (0x30d) DevNode 0xffffe0005a3a3d30 for PDO 0xffffe0005a3a4e50 InstancePath is "ROOT\volmgr\0000" ServiceName is "volmgr" State = DeviceNodeStarted (0x308) Previous State = DeviceNodeEnumerateCompletion (0x30d) DevNode 0xffffe0005a324560 for PDO 0xffffe0005bd95ca0… …Ctrl + F キーを押して、生成された出力を検索して、デバイス ドライバーの名前 ( エコー) を検索します。
エコー デバイス ドライバーを読み込む必要があります。 次に示すように、!devnode 0 1 エコー コマンドを使用して、エコー デバイス ドライバーに関連付けられているプラグ アンド プレイ情報を表示します。
0: Kd> !devnode 0 1 echo Dumping IopRootDeviceNode (= 0xffffe0007b725d30) DevNode 0xffffe0007b71a630 for PDO 0xffffe0007b71a960 InstancePath is "ROOT\SAMPLE\0000" ServiceName is "ECHO" State = DeviceNodeStarted (0x308) Previous State = DeviceNodeEnumerateCompletion (0x30d) …前のコマンドに表示される出力には、ドライバーの実行中のインスタンスに関連付けられている PDO が含まれています。この例では 、0xffffe0007b71a960。 !devobjPDO<address> コマンドを入力して、エコー デバイス ドライバーに関連付けられているプラグ アンド プレイ情報を表示します。 ここに示すアドレスではなく、 PC に !devnode が表示する PDO アドレスを使用します。
0: kd> !devobj 0xffffe0007b71a960 Device object (ffffe0007b71a960) is for: 0000000e \Driver\PnpManager DriverObject ffffe0007b727e60 Current Irp 00000000 RefCount 0 Type 00000004 Flags 00001040 Dacl ffffc102c9b36031 DevExt 00000000 DevObjExt ffffe0007b71aab0 DevNode ffffe0007b71a630 ExtensionFlags (0x00000800) DOE_DEFAULT_SD_PRESENT Characteristics (0x00000180) FILE_AUTOGENERATED_DEVICE_NAME, FILE_DEVICE_SECURE_OPEN AttachedDevice (Upper) ffffe000801fee20 \Driver\ECHO Device queue is not busy.!devnode 0 1 コマンドに表示される出力には、ドライバーの実行中のインスタンスに関連付けられている PDO アドレスが含まれています。この例では、0xffffe0007b71a960。 !devstackPDO<address> コマンドを入力して、デバイス ドライバーに関連付けられているプラグ アンド プレイ情報を表示します。 次に示すアドレスではなく、 PC に !devnode が表示する PDO アドレスを使用します。
0: kd> !devstack 0xffffe0007b71a960 !DevObj !DrvObj !DevExt ObjectName ffffe000801fee20 \Driver\ECHO ffffe0007f72eff0 > ffffe0007b71a960 \Driver\PnpManager 00000000 0000000e !DevNode ffffe0007b71a630 : DeviceInst is "ROOT\SAMPLE\0000" ServiceName is "ECHO"
出力は、非常に単純なデバイス ドライバー スタックがあることを示しています。 エコー ドライバーは、PnPManager ノードの子です。 PnPManager はルート ノードです。
\Driver\ECHO
\Driver\PnpManager
この図は、より複雑なデバイス ノード ツリーを示しています。
メモ より複雑なドライバー スタックの詳細については、「 ドライバー スタック と デバイス ノードとデバイス スタック」を参照してください。
セクション 7: ブレークポイントとソース コードの操作
セクション 7 では、ブレークポイントを設定し、カーネル モードのソース コードを 1 ステップ実行します。
注:
コマンドを使用してブレークポイントを設定する
コードをステップ実行し、変数の値をリアルタイムで確認できるようにするには、ブレークポイントを有効にして、ソース コードへのパスを設定する必要があります。
ブレークポイントは、特定のコード行でコードの実行を停止するために使用されます。 その後、その時点からコードをステップ フォワードして、コードの特定のセクションをデバッグできます。
デバッグ コマンドを使用してブレークポイントを設定するには、次のいずれかの b コマンドを使用します。
bp |
モジュールがアンロードされるまでアクティブになるブレークポイントを設定します。 |
Bu |
モジュールがアンロードされたときに未解決のブレークポイントを設定し、モジュールの再読み込み時に再度有効にします。 |
Bm |
シンボルのブレークポイントを設定します。 このコマンドは bu または bp を適切に使用し、ワイルドカード * を使用して(クラス内のすべてのメソッドと同様に) 一致するすべてのシンボルにブレークポイントを設定できるようにします。 |
詳細については、デバッグ リファレンス ドキュメント の WinDbg でのソース コード のデバッグを参照してください。
<-ホスト システム上
WinDbg UI を使用して、現在の WinDbg セッションで DebugSource>モードが有効になっていることを確認します。
次のコマンドを入力して、ソース パスにローカル コードの場所を追加します。
.srcpath+ C:\DriverSamples\KMDF_Echo_Sample\driver\AutoSync次のコマンドを入力して、シンボル パスにローカル シンボルの場所を追加します。
.sympath+ C:\DriverSamples\KMDF_Echo_Sample\driver\AutoSyncx コマンドを使用して、エコー ドライバーに関連付けられているシンボルを調べて、ブレークポイントに使用する関数名を決定します。 ワイルドカードまたは Ctrl + F キーを使用して DeviceAdd 関数名を見つけることができます。
0: kd> x ECHO!EchoEvt* 8b4c7490 ECHO!EchoEvtIoQueueContextDestroy (void *) 8b4c7000 ECHO!EchoEvtDeviceSelfManagedIoStart (struct WDFDEVICE__ *) 8b4c7820 ECHO!EchoEvtTimerFunc (struct WDFTIMER__ *) 8b4cb0e0 ECHO!EchoEvtDeviceSelfManagedIoSuspend (struct WDFDEVICE__ *) 8b4c75d0 ECHO!EchoEvtIoWrite (struct WDFQUEUE__ *, struct WDFREQUEST__ *, unsigned int) 8b4cb170 ECHO!EchoEvtDeviceAdd (struct WDFDRIVER__ *, struct …上記の出力は、エコー ドライバーの DeviceAdd メソッドが ECHO であることを示しています。EchoEvtDeviceAdd。
または、ソース コードを確認して、ブレークポイントに必要な関数名を見つけることができます。
ドライバーの名前を使用して bm コマンドを使用してブレークポイントを設定し、次にブレークポイントを設定する関数名 ( AddDevice など) を感嘆符で区切って設定します。 AddDevice を使用して、読み込まれているドライバーを監視します。
0: kd> bm ECHO!EchoEvtDeviceAdd 1: fffff801`0bf9b1c0 @!"ECHO!EchoEvtDeviceAdd"注:
モジュール>などの<変数の設定と組み合わせて異なる構文を使用できます。<symbol>, <class>::<method>,'<file.cpp>:<line number>', or skip a number of times <condition><#>. 詳細については、「WinDbg およびその他のWindows デバッガーの条件付きブレークポイント」を参照してください。bl コマンドを入力して、ブレークポイントが設定されたことを確認するために、現在のブレークポイントを一覧表示します。
0: kd> bl 1 e fffff801`0bf9b1c0 0001 (0001) ECHO!EchoEvtDeviceAdd上記の出力の "e" は、ブレークポイント番号 1 が起動可能であることを示しています。
go コマンド g を入力して、ターゲット システムでのコード実行を再起動します。
-> ターゲット システム上
Windowsで、アイコンを使用するか、mmc devmgmt.msc と入力してデバイス マネージャーを開きます。 デバイス マネージャーで、[サンプル] ノードを展開します。
KMDF Echo ドライバー エントリを長押し (または右クリック) し、メニューから [無効] を選択します。
KMDF Echo ドライバー エントリをもう一度長押し (または右クリック) し、メニューから [有効にする] を選択します。
<- ホスト システム上
ドライバーを有効にすると、 AddDevice デバッグ ブレークポイントが起動し、ターゲット システムでのドライバー コードの実行が停止します。 ブレークポイントにヒットすると、 AddDevice ルーチンの開始時に実行を停止する必要があります。 デバッグ コマンドの出力には、"ブレークポイント 1 ヒット" と表示されます。
コードを 1 行ずつ実行するには、 p コマンドを入力するか、 AddDevice ルーチンの次の末尾に到達するまで F10 キーを押します。 次に示すように、中かっこ文字 "}" が強調表示されます。
次のセクションでは、DeviceAdd コードが実行された後の変数の状態を確認します。
注:
ブレークポイントの状態の変更
次のコマンドを使用して、既存のブレークポイントを変更できます。
bl |
ブレークポイントを一覧表示します。 |
紀元 前 |
リストからブレークポイントをクリアします。 bc * を使用してすべてのブレークポイントをクリアします。 |
Bd |
ブレークポイントを無効にします。 bd * を使用して、すべてのブレークポイントを無効にします。 |
be |
ブレークポイントを有効にします。 すべてのブレークポイントを有効にするには、* を使用します。 |
または、WinDbg で editbreakpoints> を選択してブレークポイントを変更することもできます。 [ブレークポイント] ダイアログ ボックスは、既存のブレークポイントでのみ機能します。 新しいブレークポイントは、コマンド ラインから設定する必要があります。
注:
メモリ アクセス ブレークポイントの設定
また、メモリの場所にアクセスしたときに発生するブレークポイントを設定することもできます。 次の構文を使用して、 ba (アクセス時に中断) コマンドを使用します。
ba <access> <size> <address> {options}
| オプション | 説明 |
|---|---|
e |
execute (CPU がアドレスから命令をフェッチする場合) |
r |
読み取り/書き込み (CPU がアドレスに対して読み取りまたは書き込みを行う場合) |
。 |
書き込み (CPU がアドレスに書き込む場合) |
特定の時点で設定できるデータ ブレークポイントは 4 つだけであり、データを正しく揃えるか、ブレークポイントをトリガーしないようにする必要があります (単語は 2 で割り切れるアドレスで終わり、dwords は 4 で割り切り可能で、クワッドワードは 0 または 8 で区切る必要があります)。
たとえば、特定のメモリ アドレスに読み取り/書き込みブレークポイントを設定するには、次のようなコマンドを使用できます。
ba r 4 0x0003f7bf0
注:
デバッガー コマンド ウィンドウからのコードのステップ実行
コードをステップ実行するために使用できるコマンドを次に示します (かっこ内に示されているキーボードショートカットが関連付けられています)。
Break in (Ctrl + Break) - このコマンドは、システムが実行中で WinDbg と通信している限り、システムを中断します (カーネル デバッガーのシーケンスは Ctrl + C です)。
カーソルまで実行 (F7 または Ctrl + F10) – 実行を中断するソース ウィンドウまたは逆アセンブリ ウィンドウにカーソルを置き、F7 キーを押します。コードの実行は、その時点まで実行されます。 コード実行のフローがカーソルによって示されたポイントに到達しない場合 (IF ステートメントが実行されていない場合)、コードの実行が指定されたポイントに達しなかったため、WinDbg は中断されないことに注意してください。
実行 (F5) – ブレークポイントが発生するか、バグ チェックなどのイベントが発生するまで実行します。
ステップ オーバー (F10) – このコマンドにより、コードの実行が一度に 1 つのステートメントまたは 1 つの命令を続行します。 呼び出しが発生した場合、呼び出されたルーチンに入らずにコード実行が呼び出しを渡します。 (プログラミング言語が C または C++ で、WinDbg がソース モードの場合は、デバッグ>を使用してソース モードを有効または無効にすることができますソース モード)。
ステップイン (F11) – このコマンドはステップオーバーに似ていますが、呼び出しの実行が呼び出されたルーチンに入る点が異なります。
ステップ アウト (Shift + F11) – このコマンドを実行すると、現在のルーチン (呼び出し履歴内の現在の場所) に対して実行が実行され、終了します。 これは、ルーチンを十分に見てきた場合に便利です。
詳細については、デバッグ リファレンス ドキュメント の WinDbg でのソース コード のデバッグを参照してください。
セクション 8: 変数と呼び出し履歴の表示
セクション 8 では、変数と呼び出し履歴に関する情報を表示します。
このラボでは、前に説明したプロセスを使用して AddDevice ルーチンで停止していることを前提としています。 ここで表示される出力を表示するには、必要に応じて、前に説明した手順を繰り返します。
<- ホスト システム上
変数の表示
ローカル変数を表示するには、viewlocal> メニュー項目を使用します。
グローバル変数
「? 」と入力すると、グローバル変数アドレスの場所を確認できます。<>変数名。
ローカル変数
dv コマンドを入力すると、特定のフレームのすべてのローカル変数の名前と値を表示できます。
0: kd> dv
Driver = 0x00001fff`7ff9c838
DeviceInit = 0xffffd001`51978190
status = 0n0
呼び出し履歴
注:
呼び出し履歴は、プログラム カウンターの現在の位置に至った関数呼び出しのチェーンです。 呼び出し履歴の最上位関数は現在の関数で、次の関数は現在の関数を呼び出した関数です。
呼び出し履歴を表示するには、k* コマンドを使用します。
kb |
スタックと最初の 3 つのパラメーターを表示します。 |
kp |
スタックとパラメーターの完全な一覧を表示します。 |
kn |
スタックの横にフレーム情報を表示できます。 |
<-ホスト システム上
- 呼び出し履歴を使用できるようにする場合は、viewcall>スタックを選択して表示できます。 ウィンドウの上部にある列を選択して、追加情報の表示を切り替えます。
- kn コマンドを使用して、中断状態のサンプル アダプター コードのデバッグ中に呼び出し履歴を表示します。
3: kd> kn
# Child-SP RetAddr Call Site
00 ffffd001`51978110 fffff801`0942f55b ECHO!EchoEvtDeviceAdd+0x66 [c:\Samples\kmdf echo sample\c++\driver\autosync\driver.c @ 138]
01 (Inline Function) --------`-------- Wdf01000!FxDriverDeviceAdd::Invoke+0x30 [d:\wbrtm\minkernel\wdf\framework\shared\inc\private\common\fxdrivercallbacks.hpp @ 61]
02 ffffd001`51978150 fffff801`eed8097d Wdf01000!FxDriver::AddDevice+0xab [d:\wbrtm\minkernel\wdf\framework\shared\core\km\fxdriverkm.cpp @ 72]
03 ffffd001`51978570 fffff801`ef129423 nt!PpvUtilCallAddDevice+0x35 [d:\9142\minkernel\ntos\io\pnpmgr\verifier.c @ 104]
04 ffffd001`519785b0 fffff801`ef0c4112 nt!PnpCallAddDevice+0x63 [d:\9142\minkernel\ntos\io\pnpmgr\enum.c @ 7397]
05 ffffd001`51978630 fffff801`ef0c344f nt!PipCallDriverAddDevice+0x6e2 [d:\9142\minkernel\ntos\io\pnpmgr\enum.c @ 3390]
...
呼び出し履歴は、カーネル (nt) がドライバー フレームワーク コード (WDF) を呼び出し、その後エコー ドライバー DeviceAdd 関数を呼び出した プラグ アンド プレイ コード (PnP) に呼び出されたことを示しています。
セクション 9: プロセスとスレッドの表示
プロセス
セクション 9 では、カーネル モードで実行されているプロセスとスレッドに関する情報を表示します。
注:
!プロセス デバッガー拡張機能を使用して、プロセス情報を表示または設定できます。 ブレークポイントを設定して、サウンドの再生時に使用されるプロセスを調べます。
<- ホスト システム上
dv コマンドを入力して、EchoEvtIo ルーチンに関連付けられているロケール変数を確認します。
0: kd> dv ECHO!EchoEvtIo* ECHO!EchoEvtIoQueueContextDestroy ECHO!EchoEvtIoWrite ECHO!EchoEvtIoReadbc * を使用して前のブレークポイントをクリアします。
0: kd> bc *-
- 次のコマンドを使用して、 EchoEvtIo ルーチンにシンボル ブレークポイントを設定します。
0: kd> bm ECHO!EchoEvtIo* 2: aade5490 @!”ECHO!EchoEvtIoQueueContextDestroy” 3: aade55d0 @!”ECHO!EchoEvtIoWrite” 4: aade54c0 @!”ECHO!EchoEvtIoRead” ブレークポイントを一覧表示して、ブレークポイントが正しく設定されていることを確認します。
0: kd> bl 1 e aabf0490 [c:\Samples\kmdf echo sample\c++\driver\autosync\queue.c @ 197] 0001 (0001) ECHO!EchoEvtIoQueueContextDestroy ...g と入力してコードの実行を再開します。
0: kd> g-> ターゲット システム上
ターゲット システムでEchoApp.exeドライバー テスト プログラムを実行します。
<- ホスト システム上
テスト アプリを実行すると、ドライバーの I/O ルーチンが呼び出されます。 これによりブレークポイントが起動し、ターゲット システムでのドライバー コードの実行が停止します。
Breakpoint 2 hit ECHO!EchoEvtIoWrite: fffff801`0bf95810 4c89442418 mov qword ptr [rsp+18h],r8!process コマンドを使用して、echoapp.exeの実行に関連する現在のプロセスを表示します。
0: kd> !process PROCESS ffffe0007e6a7780 SessionId: 1 Cid: 03c4 Peb: 7ff7cfec4000 ParentCid: 0f34 DirBase: 1efd1b000 ObjectTable: ffffc001d77978c0 HandleCount: 34. Image: echoapp.exe VadRoot ffffe000802c79f0 Vads 30 Clone 0 Private 135. Modified 5. Locked 0. DeviceMap ffffc001d83c6e80 Token ffffc001cf270050 ElapsedTime 00:00:00.052 UserTime 00:00:00.000 KernelTime 00:00:00.000 QuotaPoolUsage[PagedPool] 33824 QuotaPoolUsage[NonPagedPool] 4464 Working Set Sizes (now,min,max) (682, 50, 345) (2728KB, 200KB, 1380KB) PeakWorkingSetSize 652 VirtualSize 16 Mb PeakVirtualSize 16 Mb PageFaultCount 688 MemoryPriority BACKGROUND BasePriority 8 CommitCharge 138 THREAD ffffe00080e32080 Cid 03c4.0ec0 Teb: 00007ff7cfece000 Win32Thread: 0000000000000000 RUNNING on processor 1出力は、ドライバー書き込みイベントのブレークポイントがヒットしたときに実行されていたechoapp.exeにプロセスが関連付けられていることを示しています。 詳細については、 !process を参照してください。
!process 0 0 を使用して、すべてのプロセスの概要情報を表示します。 出力で Ctrl + F キーを押して、echoapp.exe イメージに関連付けられているプロセスと同じプロセス アドレスを見つけます。 次に示す例では、プロセス アドレスは ffffe0007e6a7780 です。
... PROCESS ffffe0007e6a7780 SessionId: 1 Cid: 0f68 Peb: 7ff7cfe7a000 ParentCid: 0f34 DirBase: 1f7fb9000 ObjectTable: ffffc001cec82780 HandleCount: 34. Image: echoapp.exe ...このラボの後半で使用するechoapp.exeに関連付けられているプロセス ID を記録します。 後で使用するために、Ctrl + C キーを押してアドレスをコピー バッファーにコピーすることもできます。
______(echoapp.exe プロセス アドレス)
echoapp.exeの実行が完了するまでコードを前方に実行するには、デバッガーに必要に応じて g を入力します。 読み取りおよび書き込みイベントのブレークポイントに何度もヒットします。 echoapp.exeが完了したら、Ctrl + ScrLk (Ctrl + Break) キーを押してデバッガーに中断します。
!process コマンドを使用して、別のプロセスを実行していることを確認します。 次に示す出力では、Image 値が System のプロセスは Echo Image の値とは異なります。
1: kd> !process PROCESS ffffe0007b65d900 SessionId: none Cid: 0004 Peb: 00000000 ParentCid: 0000 DirBase: 001ab000 ObjectTable: ffffc001c9a03000 HandleCount: 786. Image: System VadRoot ffffe0007ce45930 Vads 14 Clone 0 Private 22. Modified 131605. Locked 64. DeviceMap ffffc001c9a0c220 Token ffffc001c9a05530 ElapsedTime 21:31:02.516 ...上記の出力は、OS を停止したときにシステム プロセス ffffe0007b65d900 が実行されていたことを示しています。
次に、 !process コマンドを使用して、前に記録したechoapp.exeに関連付けられたプロセス ID を調べます。 次に示すプロセス アドレスの例ではなく、前に記録したechoapp.exeプロセス アドレスを指定します。
0: kd> !process ffffe0007e6a7780 TYPE mismatch for process object at 82a9acc0echoapp.exe プロセスが実行されなくなったので、プロセス オブジェクトは使用できなくなります。
スレッド
注:
スレッドを表示および設定するコマンドは、プロセスのコマンドとよく似ています。 !thread コマンドを使用してスレッドを表示します。 現在のスレッドを設定するには 、.thread を使用します。
<- ホスト システム上
デバッガーに 「g 」と入力して、ターゲット システムでのコード実行を再起動します。
-> ターゲット システム上
ターゲット システムでEchoApp.exeドライバー テスト プログラムを実行します。
<- ホスト システム上
ブレークポイントがヒットし、コードの実行が停止します。
Breakpoint 4 hit ECHO!EchoEvtIoRead: aade54c0 55 push ebp実行中のスレッドを表示するには、「 !thread」と入力します。 次のような情報が表示されます。
0: kd> !thread THREAD ffffe000809a0880 Cid 0b28.1158 Teb: 00007ff7d00dd000 Win32Thread: 0000000000000000 RUNNING on processor 0 IRP List: ffffe0007bc5be10: (0006,01f0) Flags: 00060a30 Mdl: 00000000 Not impersonating DeviceMap ffffc001d83c6e80 Owning Process ffffe0008096c900 Image: echoapp.exe ...echoapp.exeの画像名をメモします。テスト アプリに関連付けられているスレッドを確認していることを示します。
-
- !process コマンドを使用して、echoapp.exeに関連付けられているプロセスで実行されている唯一のスレッドかどうかを判断します。 プロセス内の実行中のスレッドのスレッド番号は、!thread コマンドが表示されたスレッドと同じであることに注意してください。
0: kd> !process PROCESS ffffe0008096c900 SessionId: 1 Cid: 0b28 Peb: 7ff7d00df000 ParentCid: 0f34 DirBase: 1fb746000 ObjectTable: ffffc001db6b52c0 HandleCount: 34. Image: echoapp.exe VadRoot ffffe000800cf920 Vads 30 Clone 0 Private 135. Modified 8. Locked 0. DeviceMap ffffc001d83c6e80 Token ffffc001cf5dc050 ElapsedTime 00:00:00.048 UserTime 00:00:00.000 KernelTime 00:00:00.000 QuotaPoolUsage[PagedPool] 33824 QuotaPoolUsage[NonPagedPool] 4464 Working Set Sizes (now,min,max) (681, 50, 345) (2724KB, 200KB, 1380KB) PeakWorkingSetSize 651 VirtualSize 16 Mb PeakVirtualSize 16 Mb PageFaultCount 686 MemoryPriority BACKGROUND BasePriority 8 CommitCharge 138 THREAD ffffe000809a0880 Cid 0b28.1158 Teb: 00007ff7d00dd000 Win32Thread: 0000000000000000 RUNNING on processor 0 !process 0 0 コマンドを使用して、2 つの関連プロセスのプロセス アドレスを見つけ、それらのプロセス アドレスをここに記録します。
Cmd.exe: _______
EchoApp.exe: ______
0: kd> !process 0 0 … PROCESS ffffe0007bbde900 SessionId: 1 Cid: 0f34 Peb: 7ff72dfa7000 ParentCid: 0c64 DirBase: 19c5fa000 ObjectTable: ffffc001d8c2f300 HandleCount: 31. Image: cmd.exe … PROCESS ffffe0008096c900 SessionId: 1 Cid: 0b28 Peb: 7ff7d00df000 ParentCid: 0f34 DirBase: 1fb746000 ObjectTable: ffffc001db6b52c0 HandleCount: 34. Image: echoapp.exe …メモ ! process 0 17 を使用して、すべてのプロセスに関する詳細情報を表示することもできます。 このコマンドからの出力は長い場合があります。 出力は Ctrl + F キーを使用して検索できます。
!process コマンドを使用して、PC を実行している両方のプロセスのプロセス情報を一覧表示します。 次に示すアドレスではなく、 !process 0 0 出力のプロセス アドレスを指定します。
この出力例は、前に記録したcmd.exeプロセス ID を対象としています。 このプロセス ID のイメージ名がcmd.exeされていることに注意してください。
0: kd> !process ffffe0007bbde900 PROCESS ffffe0007bbde900 SessionId: 1 Cid: 0f34 Peb: 7ff72dfa7000 ParentCid: 0c64 DirBase: 19c5fa000 ObjectTable: ffffc001d8c2f300 HandleCount: 31. Image: cmd.exe VadRoot ffffe0007bb8e7b0 Vads 25 Clone 0 Private 117. Modified 20. Locked 0. DeviceMap ffffc001d83c6e80 Token ffffc001d8c48050 ElapsedTime 21:33:05.840 UserTime 00:00:00.000 KernelTime 00:00:00.000 QuotaPoolUsage[PagedPool] 24656 QuotaPoolUsage[NonPagedPool] 3184 Working Set Sizes (now,min,max) (261, 50, 345) (1044KB, 200KB, 1380KB) PeakWorkingSetSize 616 VirtualSize 2097164 Mb PeakVirtualSize 2097165 Mb PageFaultCount 823 MemoryPriority FOREGROUND BasePriority 8 CommitCharge 381 THREAD ffffe0007cf34880 Cid 0f34.0f1c Teb: 00007ff72dfae000 Win32Thread: 0000000000000000 WAIT: (UserRequest) UserMode Non-Alertable ffffe0008096c900 ProcessObject Not impersonating ...この出力例は、前に記録したechoapp.exeプロセス ID を対象としています。
0: kd> !process ffffe0008096c900 PROCESS ffffe0008096c900 SessionId: 1 Cid: 0b28 Peb: 7ff7d00df000 ParentCid: 0f34 DirBase: 1fb746000 ObjectTable: ffffc001db6b52c0 HandleCount: 34. Image: echoapp.exe VadRoot ffffe000800cf920 Vads 30 Clone 0 Private 135. Modified 8. Locked 0. DeviceMap ffffc001d83c6e80 Token ffffc001cf5dc050 ElapsedTime 00:00:00.048 UserTime 00:00:00.000 KernelTime 00:00:00.000 QuotaPoolUsage[PagedPool] 33824 QuotaPoolUsage[NonPagedPool] 4464 Working Set Sizes (now,min,max) (681, 50, 345) (2724KB, 200KB, 1380KB) PeakWorkingSetSize 651 VirtualSize 16 Mb PeakVirtualSize 16 Mb PageFaultCount 686 MemoryPriority BACKGROUND BasePriority 8 CommitCharge 138 THREAD ffffe000809a0880 Cid 0b28.1158 Teb: 00007ff7d00dd000 Win32Thread: 0000000000000000 RUNNING on processor 0 IRP List: ffffe0007bc5be10: (0006,01f0) Flags: 00060a30 Mdl: 00000000 Not impersonating ...2 つのプロセスに関連付けられている最初のスレッド アドレスをここに記録します。
Cmd.exe: _____________
EchoApp.exe: __________
!を使用します 。現在のスレッド に関する情報を表示するスレッド コマンド。
0: kd> !Thread THREAD ffffe000809a0880 Cid 0b28.1158 Teb: 00007ff7d00dd000 Win32Thread: 0000000000000000 RUNNING on processor 0 IRP List: ffffe0007bc5be10: (0006,01f0) Flags: 00060a30 Mdl: 00000000 Not impersonating DeviceMap ffffc001d83c6e80 Owning Process ffffe0008096c900 Image: echoapp.exe Attached Process N/A Image: N/A ...予想どおり、現在のスレッドはechoapp.exeに関連付けられているスレッドであり、実行中の状態です。
!を使用します 。プロセス に関連付けられているスレッドに関する情報を表示するスレッド コマンドcmd.exe。 前に記録したスレッド アドレスを指定します。
0: kd> !Thread ffffe0007cf34880 THREAD ffffe0007cf34880 Cid 0f34.0f1c Teb: 00007ff72dfae000 Win32Thread: 0000000000000000 WAIT: (UserRequest) UserMode Non-Alertable ffffe0008096c900 ProcessObject Not impersonating DeviceMap ffffc001d83c6e80 Owning Process ffffe0007bbde900 Image: cmd.exe Attached Process N/A Image: N/A Wait Start TickCount 4134621 Ticks: 0 Context Switch Count 4056 IdealProcessor: 0 UserTime 00:00:00.000 KernelTime 00:00:01.421 Win32 Start Address 0x00007ff72e9d6e20 Stack Init ffffd0015551dc90 Current ffffd0015551d760 Base ffffd0015551e000 Limit ffffd00155518000 Call 0 Priority 14 BasePriority 8 UnusualBoost 3 ForegroundBoost 2 IoPriority 2 PagePriority 5 Child-SP RetAddr : Args to Child : Call Site ffffd001`5551d7a0 fffff801`eed184fe : fffff801`eef81180 ffffe000`7cf34880 00000000`fffffffe 00000000`fffffffe : nt!KiSwapContext+0x76 [d:\9142\minkernel\ntos\ke\amd64\ctxswap.asm @ 109] ffffd001`5551d8e0 fffff801`eed17f79 : ffff03a5`ca56a3c8 000000de`b6a6e990 000000de`b6a6e990 00007ff7`d00df000 : nt!KiSwapThread+0x14e [d:\9142\minkernel\ntos\ke\thredsup.c @ 6347] ffffd001`5551d980 fffff801`eecea340 : ffffd001`5551da18 00000000`00000000 00000000`00000000 00000000`00000388 : nt!KiCommitThreadWait+0x129 [d:\9142\minkernel\ntos\ke\waitsup.c @ 619] ...このスレッドはcmd.exeに関連付けられ、待機状態です。
待機中のスレッドのスレッド アドレスCMD.exe指定して、コンテキストをその待機中のスレッドに変更します。
0: kd> .Thread ffffe0007cf34880 Implicit thread is now ffffe000`7cf34880k コマンドを使用して、待機中のスレッドに関連付けられている呼び出し履歴を表示します。
0: kd> k *** Stack trace for last set context - .thread/.cxr resets it # Child-SP RetAddr Call Site 00 ffffd001`5551d7a0 fffff801`eed184fe nt!KiSwapContext+0x76 [d:\9142\minkernel\ntos\ke\amd64\ctxswap.asm @ 109] 01 ffffd001`5551d8e0 fffff801`eed17f79 nt!KiSwapThread+0x14e [d:\9142\minkernel\ntos\ke\thredsup.c @ 6347] 02 ffffd001`5551d980 fffff801`eecea340 nt!KiCommitThreadWait+0x129 [d:\9142\minkernel\ntos\ke\waitsup.c @ 619] 03 ffffd001`5551da00 fffff801`ef02e642 nt!KeWaitForSingleObject+0x2c0 [d:\9142\minkernel\ntos\ke\wait.c @ 683] ...KiCommitThreadWait などの呼び出し履歴要素は、このスレッドが期待どおりに実行されていないことを示します。
注:
スレッドとプロセスの詳細については、次のリファレンスを参照してください。
セクション 10: IRQL、Registers、および WinDbg セッションの終了
保存した IRQL の表示
セクション 10 では、IRQL とレジストリの内容を表示します。
<- ホスト システム上
割り込み要求レベル (IRQL) は、割り込みサービスの優先順位を管理するために使用されます。 各プロセッサには、スレッドが発生または低下できる IRQL 設定があります。 プロセッサの IRQL 設定以下で発生する割り込みはマスクされ、現在の操作に干渉しません。 プロセッサの IRQL 設定の上に発生する割り込みは、現在の操作よりも優先されます。 !irql 拡張機能は、デバッガーの中断が発生する前に、ターゲット コンピューターの現在のプロセッサで割り込み要求レベル (IRQL) を表示します。 ターゲット コンピューターがデバッガーに侵入すると、IRQL が変更されますが、デバッガーの中断直前に有効だった IRQL が保存され、 !irql によって表示されます。
0: kd> !irql
Debugger saved IRQL for processor 0x0 -- 2 (DISPATCH_LEVEL)
レジスタの表示
<-ホスト システム上
r (Registers) コマンドを使用して、現在のプロセッサ上の現在のスレッドのレジスタの内容を表示します。
0: kd> r
rax=000000000000c301 rbx=ffffe00173eed880 rcx=0000000000000001
rdx=000000d800000000 rsi=ffffe00173eed8e0 rdi=ffffe00173eed8f0
rip=fffff803bb757020 rsp=ffffd001f01f8988 rbp=ffffe00173f0b620
r8=000000000000003e r9=ffffe00167a4a000 r10=000000000000001e
r11=ffffd001f01f88f8 r12=0000000000000000 r13=ffffd001f01efdc0
r14=0000000000000001 r15=0000000000000000
iopl=0 nv up ei pl nz na pe nc
cs=0010 ss=0018 ds=002b es=002b fs=0053 gs=002b efl=00000202
nt!DbgBreakPointWithStatus:
fffff803`bb757020 cc int 3
または、 ビュー>レジスタを選択してレジスタの内容を表示することもできます。 詳細については、 r (レジスタ) を参照してください。
レジスタの内容を表示すると、アセンブリ言語コードの実行やその他のシナリオでステップ実行するときに役立ちます。 アセンブリ言語の逆アセンブリの詳細については、「 注釈付き x86 逆アセンブリ 」および「 注釈付き x64 逆アセンブリ」を参照してください。
レジスタの内容については、「x86 アーキテクチャ」および「x64 アーキテクチャ」を参照してください。
WinDbg セッションの終了
<-ホスト システム上
ユーザー モードのデバッグ セッションを終了するには、デバッガーを休止モードに戻し、ターゲット アプリケーションを再度実行するように設定し、 qd (Quit および Detach) コマンドを入力します。
g コマンドを 使用して、使用できるようにターゲット コンピューターにコードを実行させてください。 また、 bc * を使用してブレークポイントをクリアして、ターゲット コンピューターが中断しないようにして、ホスト コンピューター デバッガーに接続してみることもお勧めします。
0: kd> qd
詳細については、デバッグ リファレンス ドキュメント の WinDbg でのデバッグ セッションの終了 を参照してください。
セクション 11: デバッグ リソースのWindows
詳細については、Windowsデバッグを参照してください。 これらの書籍の中には、Windows Vista などの古いバージョンのWindowsが使用されるものもありますが、説明されている概念はほとんどのバージョンのWindowsに適用されます。
書籍
Advanced Windows Debugging(Mario Hewardt、Daniel Pravat 著)
Windowsデバッグの内部: Tarik Soulami によるWindows ®のデバッグとトレース戦略の実用的なガイド
マーク・E・ルシノヴィッチ、デイヴィッド・A・ソロモン、アレックス・イオネスクによるWindows内部
ビデオ
デフラグ ツール ショー WinDbg エピソード 13-29: </shows/defrag-tools/>
トレーニング ベンダー: