windbg分析Load DLL

本文介绍了如何使用Windbg调试工具为LoadLibraryExW函数设置断点,并通过修改ESP寄存器来查看加载的DLL文件名。这对于分析系统中DLL加载情况非常有用。

1. 使用windbg打开一个程序

2. 设定断点:bp kernel32!LoadLibraryExW "du poi(esp+4)", 按f5执行,在断点处会显示加载的DLL名称

 

 

 

### 使用 WinDbg 分析 Windows 内存转储文件 为了有效利用 WinDbg 对 `memory.dmp` 文件进行分析,以下是具体方法: #### 设置符号路径 在启动 WinDbg 后,设置符号文件路径对于获取详细的调试信息至关重要。可以通过菜单栏中的 `File | Symbol File Path...` 来配置此路径[^3]。 ```plaintext .sympath SRV*c:\symbols*http://msdl.microsoft.com/download/symbols ``` 这行命令指定了本地缓存位置以及微软官方符号服务器的位置。 #### 加载扩展模块和支持库 针对不同版本的操作系统和应用程序框架,可能需要加载特定的支持库来增强诊断能力。例如,在处理 .NET 应用程序崩溃时可以加载 SOS 扩展[^4]: ```plaintext .loadby sos mscorwks ``` 注意这里的 `.loadby` 命令简化了路径指定过程;如果遇到问题也可以尝试显式提供完整路径给所需的 DLL 文件。 #### 初始化架构模式 当面对来自不同 CPU 架构(如 x86 或 AMD64)产生的 dump 文件时,应确保选择了正确的机器类型以便正确解析数据结构: ```plaintext .effmach x64 ; 如果是 64位系统 .effmach x86 ; 如果是 32位系统 ``` #### 开始基本检查 一旦完成上述准备工作,则可以从一些基础命令入手了解系统的状态。比如查看最后一次异常发生的原因码及其参数可以帮助定位故障源[^2]: ```plaintext !analyze -v ``` 该指令不仅显示错误代码还提供了关于触发 BugCheck 的上下文信息,包括但不限于涉及的驱动程序、硬件组件等细节。 通过以上步骤能够初步掌握内存转储文件所反映的问题所在,并为进一步深入调查打下良好基础。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值