可以给windbg添加条件断点
使用procmon和windbg配合进行调试
bp kernel32!CreateFileW "aS /mu ${/v:$MyPath} poi(esp+4); .block{
.if($spat(@\"${$MyPath}\",\"*新建文件夹*
\")){ad ${/v:$MyPath};} .else{ad
${/v:$MyPath};gc;} }"
dump文件:
启动Windbg,选择 File–Symbol File Path….
(选择符号库,根据OS类型决定),这一步不做也没关系,我就偷懒没下载
Symbol Packages。
然后打开:File–Open Crash
Dump… 选择你收集的dump文件
等分析完后,前面都可以忽略,直接看倒数第二行:Probably caused by : xxxxxx.sys
一般来说,这个文件就是引起系统崩溃的元凶。如果不知道它是干什么的,上Google查一下也就知道了。
然后该怎么处理就处理了。
远程调试:
调试端 -remote tcp:server=ip,port=8888
被调试端 -server tcp:port=8888
符号表的时间要和模块的时间一样
原文:http://www.cnblogs.com/xiaoxiaocaicai/p/3595127.html