可以给windbg添加条件断点
使用procmon和windbg配合进行调试
bp kernel32!CreateFileW "aS /mu ${/v:$MyPath} poi(esp+4); .block{ .if($spat(@"${$MyPath}","*新建文件夹*
")){ad ${/v:$MyPath};} .else{ad ${/v:$MyPath};gc;} }"
dump文件:
启动Windbg,选择 File–Symbol File Path…. (选择符号库,根据OS类型决定),这一步不做也没关系,我就偷懒没下载
Symbol Packages。
然后打开:File–Open Crash Dump… 选择你收集的dump文件
等分析完后,前面都可以忽略,直接看倒数第二行:Probably caused by : xxxxxx.sys
一般来说,这个文件就是引起系统崩溃的元凶。如果不知道它是干什么的,上Google查一下也就知道了。
然后该怎么处理就处理了。
远程调试:
调试端 -remote tcp:server=ip,port=8888
被调试端 -server tcp:port=8888
符号表的时间要和模块的时间一样