我想在windbg中使用'dt'命令来查看IMAGE_DOS_HEADER结构:
0:001> dt ntdll!IMAGE_DOS_HEADER **Symbol ntdll!IMAGE_DOS_HEADER not found**
我search,发现其他人已经能够做到这一点: MSDN博客> Junyoung的博客>便携式可执行文件格式在内存转储
0:000> dt IMAGE_DOS_HEADER 77c00000 ntdll!IMAGE_DOS_HEADER +0x000 e_magic : 0x5a4d ? MZ +0x002 e_cblp : 0x90 +0x004 e_cp : 3 +0x006 e_crlc : 0 +0x008 e_cparhdr : 4 +0x00a e_minalloc : 0 +0x00c e_maxalloc : 0xffff +0x00e e_ss : 0 +0x010 e_sp : 0xb8 +0x012 e_csum : 0 +0x014 e_ip : 0 +0x016 e_cs : 0 +0x018 e_lfarlc : 0x40 +0x01a e_ovno : 0 +0x01c e_res : [4] 0 +0x024 e_oemid : 0 +0x026 e_oeminfo : 0 +0x028 e_res2 : [10] 0 +0x03c e_lfanew : 232
是否有可能添加缺less的符号ntdll的公共符号,以便我可以访问windbgdebugging会话中的数据结构字段?
这真的很奇怪 – 我尝试了以下,并在win7和winxp系统上得到不同的结果 – WinXP的:
我怎样才能debugging这个用户空间应用程序崩溃?
IntelliJ IDEA在遇到断点时减慢整个计算机的速度
C#应用程序在特定点不断崩溃,需要帮助理解问题签名
什么是Windows的免费Perl IDE?
0:015> dt ntdll!*HEADER* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_SLIST_HEADER ntdll!_disPATCHER_HEADER ntdll!_IMAGE_SECTION_HEADER
Win7的:
0:000> dt ntdll!*HEADER* ntdll!_IMAGE_NT_HEADERS ntdll!_IMAGE_FILE_HEADER ntdll!_IMAGE_OPTIONAL_HEADER ntdll!_IMAGE_DOS_HEADER ntdll!_SLIST_HEADER ntdll!_disPATCHER_HEADER ntdll!_MM_PAGE_ACCESS_INFO_HEADER ntdll!_WHEA_ERROR_RECORD_HEADER ntdll!_HEAP_USERDATA_HEADER ntdll!_HEAP_USERDATA_HEADER ntdll!_WHEA_ERROR_RECORD_HEADER_VALIDBITS ntdll!_WHEA_ERROR_RECORD_HEADER_FLAGS ntdll!_XSAVE_AREA_HEADER
所以看起来,_IMAGE_DOS_HEADER符号从winxp的ntdll.dll的公共符号被剥离 – 我的问题依然存在 – 如果我知道一个DLL的公共符号DLL的结构,我怎么能添加符号我没有源?
使干净的错误,Windows
WindowsAzure:远程桌面,我能做什么?
何时以及如何使用windbg内核进行debugging
configurationVisual Studio进行debugging时出现“访问被拒绝”错误
如何在Eclipse中使用GDB进行C / C ++debugging?
发生这种情况,实际上可能会非常令人沮丧(尽管他们已经做了很多清理工作)。
您可以将类型添加到现有的PDB,但要求您具有可用的Visual C编译器(从Visual Studio或WDK)。 我在这里概述了我的回应中的步骤:
http://www.osronline.com/showthread.cfm?link=193747
我们在那里使用内核,尽管你有相同的步骤。 差异将是:
1)寻找ntdll而不是nt
斯科特
http://www.woodmann.com/forum/showthread.PHP?10295-Mysteries-of-win32k-amp-GDI&p=72632&viewfull=1#post72632
帖子#21
它们不会丢失,只是没有配置符号路径。 检查下面的Microsoft 知识库 ,如果这不起作用,您可能会有一个奇怪的问题。
确保你使用符号进行调试的一种方法是使用lm命令。 没有调试符号的输出可能看起来像这样:
lm start end module name 01000000 01014000 notepad (no symbols) 74720000 7476b000 MSCTF (export symbols) C:WINDOWSsystem32MSCTF.dl
虽然带调试符号的lm输出将是:
lm start end module name 01000000 01014000 notepad (pdb symbols) e:LocalSymbolsnotepad.pdb15800B8231AF4FDE85232D42B267D3E51notepad.pdb
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
