Analisar um arquivo de despejo no modo kernel usando WinDbg
Você pode analisar arquivos de despejo de memória no modo kernel usando o WinDbg.
Iniciar WinDbg
Os arquivos de despejo geralmente terminam com a extensão .dmp ou .mdmp. Você pode usar compartilhamentos de rede ou nomes de arquivo da Convenção universal de nomenclatura para o arquivo de despejo de memória. O processador ou a versão do Windows usada para criar um arquivo de despejo não precisa corresponder à plataforma na qual o KD é executado.
Para analisar um arquivo de despejo, inicie o WinDbg e inclua a opção de linha de comando -z :
windbg -y <SymbolPath> -i <ImagePath> -z <DumpFileName>
A opção -v , que é o modo detalhado, também é útil. Para obter uma lista completa de opções, consulte Opções de linha de comando do WinDbg.
Se o WinDbg já estiver em execução no modo inativo, abra um despejo de memória selecionando o Arquivo | Abra o comando do menu Despejo de Memória ou pressione Ctrl+D. Quando a caixa de diálogo Abrir Despejo de Memória for exibida, insira o caminho completo e o nome do arquivo de despejo de memória em Nome do arquivo ou use a caixa de diálogo para selecionar um caminho e um nome de arquivo. Depois de especificar um arquivo, selecione Abrir.
Ou abra um arquivo de despejo depois que o depurador estiver em execução usando o comando .opendump (Abrir Arquivo de Despejo), seguido pelo comando g (Go).
Você pode depurar vários arquivos de despejo ao mesmo tempo. Inclua várias opções -z na linha de comando, cada uma seguida por um nome de arquivo diferente ou execute .opendump para adicionar outros arquivos de despejo como destinos do depurador. Para obter mais informações sobre como controlar uma sessão de vários destinos, consulte Depurando vários destinos.
Arquivos de despejo podem ser empacotados em um arquivo CAB. Se você especificar o nome do arquivo, incluindo o .cab extensão de nome de arquivo, após a opção -z ou como o argumento para um comando .opendump , o depurador lerá os arquivos de despejo diretamente.
Se houver vários arquivos de despejo armazenados em um único arquivo CAB, o depurador lerá apenas um deles. O depurador não lê nenhum outro arquivo do CAB, mesmo que haja arquivos de símbolo ou outros arquivos associados ao arquivo de despejo.
Analisar o arquivo de despejo
Para analisar um despejo de memória do kernel ou um pequeno despejo de memória, talvez seja necessário definir o caminho da imagem executável para apontar para arquivos executáveis na memória durante a falha.
A análise de um arquivo de despejo é semelhante à análise de uma sessão de depuração dinâmica. Para obter detalhes sobre os comandos disponíveis para depuração de arquivos de despejo no modo kernel, consulte a seção Referência de comandos do depurador .
Na maioria dos casos, comece usando !analyze. Esse comando de extensão executa a análise automática do arquivo de despejo, que geralmente fornece informações úteis.
O comando .bugcheck (Exibir bug marcar dados) mostra o código de marcar de bugs e seus parâmetros. Para obter informações sobre um erro específico, consulte a Referência de código de marcar de bugs.
As seguintes extensões de depurador são especialmente úteis para analisar um despejo de memória no modo kernel:
Para obter técnicas para ler tipos específicos de informações de um arquivo de despejo, consulte Extraindo informações de um arquivo de despejo.
Confira também
Introdução ao WinDbg (modo kernel)