Phân tích cú pháp kết xuất sự cố trong WinDbg cho các byte riêng tư (không phải là vùng được quản lý)?

Question

Tôi muốn phân tích cú pháp tệp kết xuất lỗi đầy đủ (* .dmp) và nhận dữ liệu byte riêng tư. Tôi biết rằng VMMap của SysInternals có thể cho tôi biết bao nhiêu byte riêng của tôi, heap etc là tất cả nhưng những gì tôi cần là nếu tôi có dump, tôi sẽ có thể phân tích cú pháp nó và lấy cấu trúc Heap (managed Heap) và dữ liệu trong đống. Tôi đã thực hiện với điều này bằng cách đọc PEB và sau đó đi bộ qua heaps.

Điều tôi không thể tìm ra là cách đọc các byte riêng (ngoài Heap, được cho là dữ liệu quy trình cho mã gốc). Bất cứ ai có thể xin vui lòng chỉ cho tôi đi đúng hướng để tôi có thể phân tích cú pháp các byte riêng khác với đống từ bãi chứa sự cố.

Cảm ơn.

Answer 1

quyết -summary

Trong phần đầu tiên bạn nhận được một phân tích về việc sử dụng:

--- Usage Summary ---------------- RgnCount ----------- Total Size -------- %ofBusy %ofTotal 
Free         170   6f958000 ( 1.743 Gb)   87.18% 
<unknown>        477   6998000 (105.594 Mb) 40.21% 5.16% 
Stack         417   5d00000 ( 93.000 Mb) 35.42% 4.54% 
Image         253   3970000 ( 57.438 Mb) 21.87% 2.80% 
Heap          20   600000 ( 6.000 Mb) 2.28% 0.29% 
TEB          93    5d000 (372.000 kb) 0.14% 0.02% 
Other          9    32000 (200.000 kb) 0.07% 0.01% 
PEB          1    1000 ( 4.000 kb) 0.00% 0.00% 

Unknown sẽ allocs ảo.

Để liệt kê các vùng bộ nhớ không rõ bạn có thể chạy:

quyết -f: VAR

VAR theo quy định tại debugger.chm - vùng Busy!. Các vùng này bao gồm tất cả các khối phân bổ ảo, vùng nhớ SBH, bộ nhớ từ các trình phân bổ tùy chỉnh và tất cả các vùng khác của không gian địa chỉ không có phân loại khác.