windbg 在物理机上查看dump文件

一、在虚拟机中找到dump文件

首先在虚拟机中找到dump文件，一般来说都是在C:\Windows\Minidump\这个路径下，找到时间匹配的那个dump文件，复制到物理机中

二、在物理机中设置windbg的符号路径和源码路径

（1）找到源码路径

（2）在windbg中设置源码路径

在添加源码的时候有一点一定要注意，就是只需要源文件的路径就可以了，不要把文件名也添加进来，否则会加载错误

会提示：Non-directory path，解决方法就是把文件名去掉，再重新添加路径

正确的路径如下所示：

 

（3）在windbg中设置符号路径

在添加符号路径的时候，跟添加源码路径一样，不要把文件名添加进去了

 

一般来说把自己的符号文件添加进去就可以了，但是为了保险起见，最好是把windbg的符号路径也添加进去，两个路径之间用分号隔开。就像这样：

如果把文件名写上了，会出现以下提示：

虽然看起来是无法加载ntoskrnl.exe，我刚开始看见这个提示的时候以为是文件夹下没有这个文件，后来才发现跟这个文件似乎没什么关系。

三、打开dump文件

把上面两个路径设置好了之后，就可以打开dump文件了，有两种方式可以加载dump文件

第一种：

第二种：直接把dump拖进windbg中

 

如果路径设置没问题的话，就可以看到以下界面了：

左边高亮的代码就是最后引发异常导致系统崩溃的代码了

在右边也会显示导致异常的代码段

 

 

搜索关注公众号[逆向小生]，不定期更新逆向工程师需要掌握的技能，包括Windows和Android方面的逆向，还有作为一个逆向工程师的思维模式。