个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我有几台 Windows 7 机器,我无法读取它们的内存转储。我发现了一些我怀疑可能相关的东西,但不是肯定的:
https://twitter.com/aionescu/status/634028737458114560
我还发现了这个:http://support.microsoft.com/kb/2528507
但是,在我的任何转储中都没有看到文档中给出的有关 wow64exts 的场景消息。我目前也无法应用该修补程序来测试它。所以我只是在寻找更多信息或意见。
我可以打开任何其他操作系统转储以及我自己系统的 Windows 7 转储,但是还有另外两台运行 Win 7 的机器,它告诉我我有错误的内核符号。
我尝试清除符号缓存,重新安装 Windows SDK,并尝试在其他两台机器上打开转储,结果相同。如果重要,崩溃是使用滚动锁定方法手动创建的。
符号路径:SRV*c:\symbols*http://msdl.microsoft.com/download/symbols;
看到这些错误:后面跟着“引用的类型:nt!_KPRCB”
有没有人知道亚历克斯在推特链接中提到的问题,以及它是否可能与我所看到的有关?
最佳答案
2015-10-22 更新:
随着微软补丁日 (2015-10-13) 和 KB3088195 , 符号再次可用。
但是,尚未提供损坏版本的符号,因此下面可能仍然有用。
Microsoft 已经发布了 ntdll 的“好”符号。过去,包含类型信息,如 _TEB或 _KPRCB .从 2015 年 7 月中旬开始,微软仍然发布了 ntdll 的符号。 ,但不包含该信息。
所以这取决于ntdll的版本无论您是否获得类型信息。旧转储引用旧版本 ntdll将下载包含类型信息的旧 PDB,而新转储将引用 ntdll 的新版本和 WinDbg(或任何其他调试器)下载没有类型信息的 PDB。
微软是否可以追溯删除“好”符号的类型信息,从而使它们“坏”?
是的。如 this answer 中所述,有一个工具可以从现有的 PDB 中删除类型信息。这样做并替换 PDB 会导致这种效果。
Microsoft 能否发布当前“坏”的那些 PDB 的“好”版本?
这很难说,因为我们不知道微软是否保留了“好”版本的副本,以便他们可以用“好”版本替换符号服务器上的“坏”版本。重建ntdll从相同的源代码创建新的 PDB 听起来是可能的,但 PDB 会获得一个新的时间戳和校验和。这可能可以手动更正,尤其是 Microsoft,因为他们应该了解 PDB 内部格式,但恕我直言,他们不太可能这样做。事情可能会出错,MS 几乎不会有测试来保证这种事情的正确性。
那我能做什么?
恕我直言,您无法真正纠正这种情况。
您可以假设 ntdll 中的类型没有改变这么多。这将允许您使用旧版本的 wntdll.pdb以及ntdll.dll的新版本并申请 ChkMatch -m到它。这会将时间戳和校验和从 DLL 复制到 PDB。完成后(在一个空文件夹中),替换现有的 wntdll.pdb在您的符号目录中与被黑的一个。
WinDbg 演练(输出缩短为相关内容)。我正在使用最新版本的 wntdll.pdb我可以在我的电脑上找到。
警告:执行以下操作可能会修复类型信息,但可能会破坏调用堆栈的正确性。由于实现中的任何更改(可能用于安全修复)都会更改方法偏移量。
0:005> dt nt!_PEB
*************************************************************************
*** ***
*** Either you specified an unqualified symbol, or your debugger ***
...
*** Type referenced: nt!_PEB ***
*** ***
*************************************************************************
Symbol nt!_PEB not found.
0:005> lm m ntdll
start end module name
773f0000 77570000 ntdll (pdb symbols) e:\debug\symbols\wntdll.pdb\FA9C48F9C11D4E0894B8970DECD92C972\wntdll.pdb
0:005> .shell cmd /c copy C:\Windows\SysWOW64\ntdll.dll e:\debug\temp\ntdllhack\ntdll.dll
1 file(s) copied.
0:005> .shell cmd /c copy "E:\Windows SDk\8.0\Debuggers\x86\sym\wntdll.pdb\B081677DFC724CC4AC53992627BEEA242\wntdll.pdb" e:\debug\temp\ntdllhack\wntdll.pdb
1 file(s) copied.
0:005> .shell cmd /c E:\debug\temp\ntdllhack\chkmatch.exe -m E:\debug\temp\ntdllhack\ntdll.dll E:\debug\temp\ntdllhack\wntdll.pdb
...
Executable: E:\debug\temp\ntdllhack\ntdll.dll
Debug info file: E:\debug\temp\ntdllhack\wntdll.pdb
Executable:
TimeDateStamp: 55a69e20
Debug info: 2 ( CodeView )
TimeStamp: 55a68c18 Characteristics: 0 MajorVer: 0 MinorVer: 0
Size: 35 RVA: 000e63e0 FileOffset: 000d67e0
CodeView format: RSDS
Signature: {fa9c48f9-c11d-4e08-94b8-970decd92c97} Age: 2
PdbFile: wntdll.pdb
Debug info: 10 ( Unknown )
TimeStamp: 55a68c18 Characteristics: 0 MajorVer: 565 MinorVer: 6526
Size: 4 RVA: 000e63dc FileOffset: 000d67dc
Debug information file:
Format: PDB 7.00
Signature: {b081677d-fc72-4cc4-ac53-992627beea24} Age: 4
Writing to the debug information file...
Result: Success.
0:005> .shell cmd /c copy E:\debug\temp\ntdllhack\wntdll.pdb E:\debug\symbols\wntdll.pdb\FA9C48F9C11D4E0894B8970DECD92C972\wntdll.pdb
1 file(s) copied.
0:005> .reload
Reloading current modules
.............................
0:005> dt nt!_PEB
ntdll!_PEB
+0x000 InheritedAddressSpace : UChar
+0x001 ReadImageFileExecOptions : UChar
...
0:005> !heap -s
LFH Key : 0x219ab08b
Termination on corruption : DISABLED
Heap Flags Reserv Commit Virt Free List UCR Virt Lock Fast
(k) (k) (k) (k) length blocks cont. heap
-----------------------------------------------------------------------------
Virtual block: 00920000 - 00920000 (size 00000000)
Virtual block: 02c60000 - 02c60000 (size 00000000)
Virtual block: 02e10000 - 02e10000 (size 00000000)
...
ChkMatch这样的好处是不需要开启
.symopt- 100 ,因为该选项会影响所有 PDB 文件,并且您不会发现潜在的其他符号问题。如果您不介意使用
.symopt ,你可以简单地复制一个旧的
wntdll.PDB在新的。
关于debugging - 是否存在与 Windows 7 内核符号相关的已知问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32278634/
25
4
0
第一段代码工作正常,并给出了我需要的结果。我现在想做的是让它在 'as num' 上返回 3 个数字值对于“as num”上的 3 个不同值,对于同一列上的 3 个不同位置 SELEC
我想分析一些数据以编写定价算法。以下日期可用: 我需要三个变量/维度的函数/相关因子,它显示三个维度(pers_capacity、卧室数量、浴室数量)增长时中位数(价格)的变化。例如Y(#pers_c
正如标题所说 - 我的 Sprite Kit 游戏时不时地在后台崩溃,总是出现此错误 - Exception Type: EXC_BAD_ACCESS (SIGSEGV) Exception Sub
假设我尝试保存以下数据,并且Songs模型的name属性上设置了Phalcon \ Mvc \ Model \ Validator \ PresenceOf验证器 // Get an existing
我有一个 if 控件,如下所示; if (Directory.Exists(System.IO.Path.Combine(systemPath, "Reports", companyName))
有人可以告诉我我们使用 ReadLine() 从文件 (.txt) 中读取特定行吗?现在我想读取文件的全部内容(不仅仅是第一行)。为此我需要使用什么方法。我用谷歌搜索了很多,但找不到解决方案。 我的代
我相信在大学时我用从 C 派生的语言为 FPGA 编写了一个程序。我了解 VHDL 和 verilog 等语言。但是,我不明白的是程序员在使用哪个方面有多少选择?它依赖于FPGA吗?我将使用 Xili
我有一个 if 控件,如下所示; if (Directory.Exists(System.IO.Path.Combine(systemPath, "Reports", companyName))
如何在运行时更改 Dashcode (Javascript) 中图像对象的源? 我试过: var image = document.getElementById("image").object;ima
我有几个相互关联的类,它们将被多种不同的算法使用 例子: struct B; struct A { B* parent; }; struct B { std::vector child
我正在开发一个网站,用户在客户收到的表中输入金额,如果任何客户没有提供分期付款(金额),则用户不会在表中输入任何金额,并且用户希望获取违约者的信息客户以10天为基础。所以我的问题是应该定义什么表和属性
我试图从上一个条目中选择一个值,并每次将该数字加一。我让它工作到选择当前条目值(默认 1000)并递增 1 并重新插入该值(因此每次最终都是 1001)。我需要它来选择该字段的最后一个条目,这样它将变
我不擅长“制作”查询。假设这是我的数据库: artist pics ------------------- -
最近,我要为我的网站做一个即时通知系统。我听说 COMET 在这种情况下必不可少。 我已经搜索 PHP 和 Comet 一段时间了,但是,我发现的指南和文章似乎只是循环中的 ajax 请求。例如,有一
我正在开发一款 iOS 游戏,我希望 clown 在场景外生成,然后向下移动。我的想法是全部创建它们,并将它们以 360 像素的距离放置在不可见的场景中。 像这样: SKSpriteNode *clo
我有以下子订单表。 mysql> select * from suborder; +-------------+------------------+ | order_state | bookin
这可能是一个有点初学者的问题,但考虑到在 Java 中调试编码是相当相关的:什么时候编码与 String 对象相关? 假设我有一个要保存到文件中的字符串对象。 String 对象本身是否使用某种我应该
首先我想说我是 CPP 的新手(我从 cpp11 开始):)考虑以下实体:学生(名字+姓氏)和组(描述+更多学生)。我在 C++ 中创建了以下 2 个类: class Student { privat
我正在尝试在单击该复选框时同步更新我的数据库。我决定使用 aJax,但它似乎无法识别 ajax。 代码:将成为 Switch_Active(this.id) 函数的元素 ... Deactivat
我正在创建一个菜单。菜单如下。 $('.category').mouseover(function() { $(this).removeClass('category').addClass('cate
我是一名优秀的程序员,十分优秀!