Analisando um arquivo de despejo no modo kernel com KD
Os arquivos de despejo de memória do modo kernel podem ser analisados pelo KD. O processador ou a versão do Windows em que o arquivo de despejo foi criado não precisa corresponder à plataforma na qual o KD está sendo executado.
Iniciando KD
Para analisar um arquivo de despejo, inicie o KD com a opção de linha de comando -z :
kd -y Caminho_do_símbolo -i Caminho_da_imagem -z Nome_do_arquivo_de_despejo
A opção -v (modo detalhado) também é útil. Para obter uma lista completa de opções, consulte Opções de linha de comando do KD.
Você também pode abrir um arquivo de despejo depois que o depurador estiver em execução usando o comando .opendump (Abrir Arquivo de Despejo), seguido de g (Ir).
É possível depurar vários arquivos de despejo ao mesmo tempo. Isso pode ser feito incluindo várias opções -z na linha de comando (cada uma seguida por um nome de arquivo diferente) ou usando .opendump para adicionar arquivos de despejo adicionais como destinos do depurador. Para obter informações sobre como controlar uma sessão de vários destinos, consulte Depurando vários destinos.
Os arquivos de despejo geralmente terminam com a extensão .dmp ou .mdmp. Você pode usar compartilhamentos de rede ou nomes de arquivo UNC (Convenção de Nomenclatura Universal) para o arquivo de despejo de memória.
Também é comum que os arquivos de despejo sejam compactados em um arquivo CAB. Se você especificar o nome do arquivo (incluindo a extensão .cab) após a opção -z ou como o argumento para um comando .opendump , o depurador poderá ler os arquivos de despejo diretamente do CAB. No entanto, se houver vários arquivos de despejo armazenados em um único CAB, o depurador só poderá ler um deles. O depurador não lerá nenhum arquivo adicional do CAB, mesmo que sejam arquivos de símbolo ou outros arquivos associados ao arquivo de despejo.
Analisando o arquivo de despejo
Se você estiver analisando um despejo de memória do kernel ou um despejo de memória pequeno, talvez seja necessário definir o caminho da imagem executável para apontar para quaisquer arquivos executáveis que possam ter sido carregados na memória no momento da falha.
A análise de um arquivo de despejo é semelhante à análise de uma sessão de depuração ao vivo. Consulte a seção Referência de comandos do depurador para obter detalhes sobre quais comandos estão disponíveis para depurar arquivos de despejo no modo kernel.
Na maioria dos casos, você deve começar usando !analyze. Esse comando de extensão executa a análise automática do arquivo de despejo e geralmente pode resultar em muitas informações úteis.
O .bugcheck (Exibir dados de verificação de bugs) mostra o código de verificação de bugs e seus parâmetros. Procure essa verificação de bug na Referência de código de verificação de bug para obter informações sobre o erro específico.
As seguintes extensões do depurador são especialmente úteis para analisar um despejo de memória no modo kernel:
Para técnicas que podem ser usadas para ler tipos específicos de informações de um arquivo de despejo, consulte Extraindo informações de um arquivo de despejo.