Ler em inglês

Partilhar via


LiveKd v5,63

Por Mark Russinovich e Ken Johnson

Publicado em: 28 de abril de 2020

DownloadBaixar LiveKd (700 KB)

Introdução

LiveKD, um utilitário que escrevi para o CD incluído no Inside Windows 2000, 3rd Edition, está agora disponível gratuitamente. O LiveKD permite que você execute os depuradores do kernel Kd e Windbg da Microsoft, que fazem parte do pacote Ferramentas de Depuração para Windows, localmente em um sistema ativo. Execute todos os comandos do depurador que funcionam em arquivos de despejo de memória para olhar profundamente dentro do sistema. Consulte a documentação das Ferramentas de Depuração para Windows e nosso livro para obter informações sobre como explorar um sistema com os depuradores do kernel.

Embora as versões mais recentes do Windbg e do Kd tenham uma capacidade semelhante no Windows Vista e no Server 2008, o LiveKD permite mais funcionalidades, como a visualização de pilhas de threads com o comando !thread, do que o próprio recurso de depuração do kernel ao vivo do Windbg e do Kd.

Instalação

Primeiro, baixe e instale o pacote Ferramentas de Depuração para Windows do site da Microsoft:

https://msdn.microsoft.com/library/windows/hardware/ff551063(v=vs.85).aspx

Se você instalar as ferramentas em seu diretório padrão de \Arquivos de Programas\Microsoft\Ferramentas de Depuração para Windows, você pode executar o LiveKD a partir de qualquer diretório, caso contrário, você deve copiar o LiveKD para o diretório no qual as ferramentas estão instaladas.

Se você não instalou símbolos para o sistema no qual você executa o LiveKD, o LiveKD perguntará se você deseja que ele configure automaticamente o sistema para usar o servidor de símbolos da Microsoft (consulte a documentação das Ferramentas de Depuração para Windows para obter informações sobre arquivos de símbolos e o servidor de símbolos da Microsoft).

NOTA: O depurador da Microsoft queixar-se-á de que não consegue encontrar símbolos para LIVEKDD.SYS. Isso é esperado, uma vez que eu não disponibilizei símbolos para LIVEKDD.SYS e não afeta o comportamento do depurador.

Usando o LiveKd

Utilização:

liveKd [[-w]|[ -k <depurador>]|[ -o nome do arquivo]] [-vsym] [-m[flags] [[-mp process]|[ pid]]][opções do depurador]
liveKd [[-w]|[ -k <depurador>]|[ -o filename]] -ml [Opções do depurador]
liveKd [[-w]|[ -k <depurador>]|[ -o nome do arquivo]] [[-hl]|[ -hv <Nome> da VM [[-p]|[ -hvd]]]] [Opções do depurador]

Parâmetro Description
-VH Especifica o nome ou GUID da VM Hyper-V a ser depurada.
-DVH Inclui páginas de hipervisor (apenas Windows 8.1 e superior).
-HVL Lista os nomes e GUIDs da execução de VMs Hyper-V.
-k  Especifica o caminho completo e o nome do arquivo da imagem do depurador a ser executada
-m  Cria um dump espelhado, que é uma visão consistente da memória do kernel.
Apenas a memória do modo kernel estará disponível, e esta opção pode precisar de quantidades significativas de memória física disponível.  Uma máscara de sinalizadores que especifica quais regiões incluir pode ser fornecida opcionalmente (extraída da tabela a seguir, padrão 0x18F8):
0001 - processo privado, 0002 - arquivo mapeado,
0004 - seção compartilhada, 0008 - páginas de tabela de páginas,
0010 - pool paginado, 0020 - pool não paginado,
0040 - PTE do sistema, 0080 - páginas da sessão,
0100 - ficheiros de metadados, 0200 - páginas de utilizador AWE,
0400 - páginas de driver, 0800 - pilhas de kernel,
1000 - WS metadata, 2000 - páginas grandes
O padrão captura a maioria do conteúdo de memória do kernel e é recomendado.
Esta opção pode ser usada com -o para salvar despejos mais rápidos e consistentes.
Os despejos de espelho exigem o Windows Vista ou o Windows Server 2008 ou superior.
Sysinternals RamMap fornece um resumo gráfico da distribuição das regiões de memória disponíveis que podem ser selecionadas para inclusão.
-ml  Gere live dump usando suporte nativo (somente Windows 8.1 e superior).
-mp  Especifica um único processo cujo conteúdo de memória do modo de usuário deve ser incluído em um despejo espelhado. Apenas eficaz com a opção -m.
-o Salva um memory.dmp no disco em vez de iniciar o depurador.
-p Pausa a VM Hyper-V de destino enquanto o LiveKd está ativo (recomendado para uso com -o). Especifica o nome ou GUID da VM Hyper-V a ser depurada.
-HVL Lista os nomes e GUIDs da execução de VMs Hyper-V.
-VSyM Exibe informações detalhadas de depuração sobre operações de carregamento de símbolos.
-w  Corre windbg em vez de kd

Todas as outras opções são passadas para o depurador.

Nota: Use Ctrl-Break para encerrar e reiniciar o depurador se ele travar.

Por padrão, o LiveKd é executado kd.exe.

DownloadBaixar LiveKd (700 KB)

Funciona em:

  • Cliente: Windows Vista e superior.
  • Servidor: Windows Server 2008 e superior.