,因爲你正在使用XPLocal Kernel Debugging
支持可不必編輯引導配置和重啓
如果你是一個操作系統,你需要編輯/調試OS的啓動配置高於XP在開關和重啓本地內核調試支持
bcdedit /debug on and reboot
才windbg -kl
將在OS比XP
if you don't want to edit your boot configuration download livekd
from sysinternals and use it instead for local kernel debugging
012更大的工作
使用此命令行
windbg -kl
開放的WinDbg,這將打開的WinDbg與提示lkd>
代替0:000>
現在你可以使用!pte
命令
替代的explorer.exe用你想檢查的正在運行的二進制文件的名稱(注意這不是用戶模式,你正在查看二進制文件的內核模式部分)
在下面的例子中,我使用livekd在視窗7 86 32位物理機
C:\>livekd
LiveKd v5.40 - Execute kd/windbg on a live system
Sysinternals - www.sysinternals.com
Copyright (C) 2000-2015 Mark Russinovich and Ken Johnson
Launching C:\Program Files\Windows Kits\8.1\Debuggers\x86\kd.exe:
Microsoft (R) Windows Debugger Version 6.3.9600.17298 X86
Copyright (c) Microsoft Corporation. All rights reserved.
kd> !process 0 0 explorer.exe
PROCESS 864b2638 SessionId: 1 Cid: 05f8 Peb: 7ffde000 ParentCid: 05e4
DirBase: 7e28c2c0 ObjectTable: 964ccad8 HandleCount: 1062.
Image: explorer.exe
kd> .process /p /r 864b2638
Implicit process is now 864b2638
Loading User Symbols
kd> !pte explorer
VA 00400000
PDE at C0600010 PTE at C0002000
contains 000000000FFB2867 contains 80000000103F7025
pfn ffb2 ---DA--UWEV pfn 103f7 ----A--UR-V
kd> $$ page table entry contains 103f7025
kd> dc c0002000 l1
c0002000 103f7025 %p?.
kd> $$ the top 5 bytes are page frame nos lets see if the physical page contains MZ
kd> !dc 103f7000 l1
#103f7000 00905a4d MZ.......L`...ac
kd>
感謝。你的意思是從另一臺計算機調試更好嗎? –
不,這意味着'!pte'可能與您嘗試解決的問題無關。你的問題類似於詢問「我正在執行用戶模式 - 調試,但是['!idt'](https://msdn.microsoft.com/en-us/library/windows/hardware/ff563219(v = vs。 85).aspx)命令來顯示中斷不起作用!我應該使用兩臺電腦嗎?「不。該命令與用戶模式調試無關。 – conio
爲什麼你認爲'!pte'會有幫助?到目前爲止你還使用了其他的命令?你想解決什麼問題?爲什麼要調試可執行文件?它會崩潰嗎? WinDbg有數百個命令。你爲什麼選擇這個進行調試? –