开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么我没有在windbg中正确加载ntdll，而是下载了windbg x86？

Windbg是一款由微软开发的调试工具，用于分析和调试Windows操作系统和应用程序。它可以帮助开发人员定位和解决软件中的问题。

在你的问题中，你提到没有正确加载ntdll，并下载了Windbg x86版本。这可能是由于以下几个原因导致的：

平台不匹配：Windbg有x86和x64两个版本，分别用于32位和64位的Windows操作系统。如果你的操作系统是64位的，但下载了x86版本的Windbg，可能会导致无法正确加载ntdll。在这种情况下，你应该下载并安装与你的操作系统匹配的Windbg版本。
Windbg安装问题：如果你已经安装了正确的Windbg版本，但仍然无法正确加载ntdll，可能是由于安装过程中出现了问题。你可以尝试重新安装Windbg，确保按照官方文档的指导进行操作。
系统环境变量配置问题：Windbg在加载ntdll时需要正确配置系统环境变量。你可以检查系统环境变量中是否包含Windbg所需的路径，并确保路径正确配置。

总结起来，如果你没有在Windbg中正确加载ntdll，首先要确保你下载并安装了与你的操作系统匹配的Windbg版本。如果问题仍然存在，可以尝试重新安装Windbg并检查系统环境变量配置。如果问题仍然无法解决，可能需要进一步调查和分析具体的错误信息和环境配置。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Windbg调试----Windbg入门

好久没有更新文章了，希望以Windbg系列作为回归。欢迎大家一起讨论和分享。 Windbg简单来说就是一个Windows下对用户态/内核态的程序进行调试，以及对Core Dump文件的分析。...Windbg帮助文档翻译安装Windbg 由于目前微软官网上并没有单独提供Windbg的下载安装包，可以通过以下两个途径获取：下载安装WDK 有网友提供了单独的MSI安装包，可以通过Goole搜索获取...调试器中断，这时还没有真正去执行testforme的代码，并且可以通过Windbg命令去设置断点，查看已加载模块的信息等操作。...这里我就不再展示关闭优化后，用windbg调试打印局部变量了，大家可以自己试一试。源码调试习惯于VS调试的同学，可能会觉得Windbg命令调试难记难用（事实上，当你熟悉了之后可能会改变看法）。...顺便在这里提一个很实用的命令.hh，用来在Windbg中打开帮助文档，比如使用.hh k则帮助文档会打开到索引k命令处。

2.3K3 2

WinDbg调试.NET程序入门

自从来到新公司遇到性能问题后，需要想办法解决这个问题，但是一直没有合适的性能分析工具，然后找到StevenChennet 大神帮忙，他用WinDbg工具远程帮我分析了一个 dump文件，但是只看到键盘...Debugging Tools for Windows (WinDbg) 下载。...安装好后，在开始-》Windows Kits文件夹下有 WinDbg(x86),WinDbg(x64) 两个程序的快捷方式，如果你要调试 64位的程序，就用WinDbg(x64)。...Version: 4.0.30319.296 SOS Version: 4.6.96.0 Failed to load data access DLL, 0x80004005 还是报错，看来 sos.dll 没有加载正确...加载了它，然后执行 .loadby sos clr ,表示调试.NET托管程序。

1.8K10 0

.NET 高级调试：认识调试工具

一、简介 Net 高级调试的相关文章，我自从学习了之后，以前很多模糊的地方现在很清楚了，原来自己的功力还是不够，所以有很多不明白，通过学习 Net 高级调试，眼前豁然开朗，茅塞顿开。...既然坚持下来了，我就把学习的过程记录下来，也许以后自己的能用的到，可以方便查询。或许，有其他人也有同样的困扰，或许可以在我这里得到一些帮助，有帮助我当然很开心。...Windbg Preview 是不用单独执行加载的工作的，它会自动加载它所需要的版本，如果是老版本的 Windbg，比如：windbg10 ，可以通过 .load 命令加载 SOS.dll。...红色字体显示已经加载了 SOS 调试扩展。...代码案例：Example_1_1_1 1）、加载程序集 A、编译程序源码，生成 Dll 或者是 Exe 程序集，可以在拷贝地址，当然这是我的习惯，你可以选择 Windbg 查找文件也是可以的。

2462 0

win10 uwp 使用 WinDbg 调试

本文告诉大家如何用 WinDbg 调试 UWP 应用，使用 WinDbg 调试是在没有其他手段的时候才进行的调试，因为调试难度特别大。...我最近因为发现有 Edge 和其他 UWP 程序打不开的问题，然而我没有 Edge 和其他 UWP 的源代码，于是我只能通过 WinDbg 去调试 UWP 程序找到工具请不要在网上去下载 WinDbg...Windows 10 SDK 之后，可以在 C:\Program Files (x86)\Windows Kits\10\Debuggers 里面找到对应的 x86 和 x64 等版本的工具，打开之后可以从标题栏看到版本号...程序，随意附加到一个可以附加的进程，例如 QQ 程序，这时可不要选 DWM 或 Explorer 调试，如果你好奇为什么，那么请保存好你的所有代码，然后附加一下附加到任意的进程是为了可以在 Windbg..._x64__ajj8jc175maf4 -plmApp App 上面代码就可以打开我的图床进入调试挂起应用有一些 UWP 程序在调试过程就 gg 了，一个可以使用的方法是在进行符号加载的时候先将他挂起

8191 0

DllMain中不当操作导致死锁问题的分析--导致DllMain中死锁的关键隐藏因子

有了前面两节的基础，我们现在切入正题：研究下DllMain为什么会因为不当操作导致死锁的问题。首先我们看一段比较经典的“DllMain中死锁”代码。...后就停住了，光标在闪动，貌似还是在等待我们输入。可是我们怎么敲击键盘都没有用：它死锁了。我是在VS2005中调试该程序，于是我们可以Debug->Break All来冻结所有线程。...15、16步这个过程显示了Kernel32中的WaitForSingleObjectEx在底层是调用了NtDll中的NtWaitForSingleObject。...我们用Windbg查看下TEB的结构体,该结构体很大，我只列出我们目前关心的字段 lkd> dt _TEB nt!...正如其名，该字段指向的是TIB结构体在进程空间中的虚拟地址。为什么要指向自己？那我们是否可以直接使用FS:[0]地址？不可以。举个例子：我用windbg挂载到我电脑上一个运行中的calc（计算器）。

1.3K2 0

驱动开发：WinDBG 常用调试命令总结

Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器，支持Source和Assembly两种模式的调试。Windbg不仅可以调试应用程序，还可以进行Kernel Debug。...Windbg支持的平台包括X86、IA64、AMD64。...dlls -v -c ntdll // 查看ntdll.dll的详细信息 0:000> ld * // 为所有模块加载符号 0:000> ld kernel32 // 加载kernel32...// 列出加载的所有符号信息 0:000> x ntdll!* // 列出ntdll.dll中的所有符号 0:000> x ntdll!...* # 列出ntdll中的全部结构体，导出的函数名也会列出 dt ntdll!

7882 0

Hells Gate的一次尝试入门

我想，如果想要进一步的发展提升，便要开展这方面的学习了，遂有此篇博文。...2.前置知识 2.1 PEB的数据结构 PEB地址: 在x86进程的线程进程块(TEB)中FS寄存器中的0x30偏移处找到。 ...微软官方提供了可根据对应寄存器偏移位置读取内存的API: __readfsqword (x86) __readgsqword (x64) 两个api可以在dbghelp.h、winnt.h中找到...Flink值查找对应结构时，一定要减去16字节，以保证我们正确对齐（x86或x64皆如此）。...利用Windbg查询系统调用号: db (ntdll!

9622 0

Windbg分析程序崩溃实践

小木将程序dump拷贝到了自己的办公机器上，准备用预先安装好的Windbg64位进行分析。 3. Windbg分析小木根据之前学习的内容，先用Windbg 加载dump。...用k查看crash的堆栈，因为没有加载产品的符号信息，函数调用栈，没有显示出哪个函数调用导致程序crash了。...运行重新加载symbols: .reload 以上的配置也可以保存到workspace中，以便下次继续使用。...BaseThreadInitThunk+0x14 0e 00000001`08b2fd00 00000000`00000000 ntdll!...RtlUserThreadStart+0x21 小木松了一口气，终于有点线索了，程序崩溃在函数LogStr，根据里面的行数提示，找到那段代码: void LogStr(std::string strContent

1.1K3 0

Wow64 栈回溯和模块枚举

在驱动中回溯调用栈，找到特定模块，获取模块地址、大小、路径等信息，然后...。...我这里要着重提的是 x86(ring3)->x64(ring0)，也就是64位系统的32位程序在进行系统调用时的堆栈（称为 Wow64）。先看看 CreateFile 的栈信息。...Windbg 并不能直接通过 k 显示 wow64 到内核的所有栈信息，wow64 部分需要通过扩展指令切换，具体如下： ?...NtCreateFile+0x12 75583f66 755853c4 013259e2 需要注意的是，两个 ntdll 并不一样（ntdll_77b00000 是 32 位 dll），并且 ntdll...中间出现了 wow64 和 wow64cpu 两个模块，这就涉及到具体 x86 调用（wow64）如何切换到 x64 了，这里不展开。

2.6K2 0

dotnet 6 在 Win7 系统证书链错误导致 HttpWebRequest 内存泄露

到这里想要继续就只能通过 WinDbg 了，玩 WinDbg 工具需要花太多的时间，于是我先挂着 WinDbg 在 Win7 系统上，拉符号文件，将我本机的符号文件夹共享给他。...详细请看官方文档接下来是将 Xx 应用跑起来，由于 Xx 应用是在空闲的时候，没有用户交互，就出现内存泄露，为了减少 WinDbg 的复杂调试，我在应用跑起来，启动完成，才使用 WinDbg 附加调试...这些是可以忽略的，而且我也大概定位到方向，加上前几天也尝试定位了 CLR 异常没有收获，就没有继续定位让 Xx 应用跑了一段时间，在 WinDbg 工具按下暂停，继续执行 !...如何加载 dotnet 6 的 sos 请看 WinDbg 加载 dotnet core 的 sos.dll 辅助调试方法在调试到 CertGetCertificateChain 申请的内存没有泄露，...后续的调试我也不用 WinDbg 了，也不需要去加载 dotnet 6 的 sos 了。

1.1K2 0

Windows程序内存泄漏(Memory Leak)分析之UMDH

小木找到了一个分析利器UMDH: 这也是Windbg工具集中的其中一个利器，它可以在一个时间点记录程序的当前程序使用的堆内存申请的信息，过一段时间后再记录一次程序使用的堆内存申请的信息，然后比较两次的结果来找到这段时间内增加的堆内存及其关联的函数调用栈...程序每隔十秒钟调用一次MemorLeakFunction ，在函数中每次会从堆上申请一段内存空间，并且没有释放。...假设这里等待5分钟左右，再次运行如下命令,将结果导入到C:\undhlog\end.log中: "C:\Program Files (x86)\Windows Kits\10\Debuggers\x64...最关键的部分就是函数调用栈了,里面指明了在memoryleaksample.cpp文件的第17行进行了内存申请。...小木在熟悉了UMDH的使用后，对线上出现的实际问题进行分析，也很快找到了内存泄露原因。

1.3K1 0

电脑蓝屏了怎么办|电脑蓝屏如何回复|当你电脑蓝屏时的粗暴解决方案

我的电脑是Win10系统，其它系统目前暂时不知道，在网上也有看到消息说要提前设置好，但是我并没有设置，这里也贴一下设置的图片吧。...另外需要设置WinDBG的访问符号，在WinDBG官网中可以看到 Symbol Server (Microsoft): srv*c:\mss*http://msdl.microsoft.com/download...三、分析过程 WinDBG打开dmp文件，稍等一会便可出现分析报告，我的分析报告如下： Microsoft (R) Windows Debugger Version 6.12.0002.633 X86...从第81行开始较为重要，其中抛出的“VISTA_DRIVER_FAULT”表示访问驱动错误，PROCESS_NAME指向了QQPYUserCenter，表示罪魁祸首是该进程，即“QQ拼音用户中心”，但是我实在想不通为什么...继续向下看到第94、95行，表示该进程调用了ntdll中的RtlIsNameInExpression之后又调用了RtlpIsNameInExpressionPrivate+0x92函数时出错了，该问题也可在第

2.9K4 0

0x000000fc (ATTEMPTED EXECUTE OF NOEXECUTE MEMORY)

该命令可显示内核用来代表一个进程的EPROCESS结构（该结构并没有正式的说明文档）的成员及其偏移量。尽管该命令仅列出了成员的偏移量，但你也能很容易的猜出其正确的类型。...peb ,显示peb（进程信息） //显示相关 dt ntdll!*teb* 列出匹配通配符的结构名 dt -v -r ntdll!...*main* //在我们的程序模块中搜索包含main的地址（注意：如果未加载symbol是不能显示的！） 3), 如果存在，在our_exe_name!...“Wrong”，就不用多解释了，就是我们要寻找的字符串。不过WinDbg不支持模糊搜索，所以这里输入的字符串必定要完全正确。...内存访问断点 6、下内存访问断点 WinDbg中，ba命令代表Break On Access，即访问时中断。

1.3K1 0

程序Crash了却无法捕获正确的函数调用栈？

比较隐晦的一些场景，并不是自己编写的程序代码显示的调用退出进程API，而是由于一些API调用或者异常处理导致的: 比如微软的安全函数，strcpy_s在VS2005中比如当目标buffer空间不够就会调用...(笔者此时查看VS2015版本，默认行为已经不会调用了TerminateProcess，而是返回错误，微软也是在各位程序员采坑的情况下不断的优化自己的CRT库) 在抛出异常Unwind过程中，会调用一些局部变量的析构函数...(所以不建议在析构函数中抛出异常) 等等.........既然明确了这个场景后，有个麻烦的事情，程序中有很多地方，包括第三方库都会调用strcpy_s等这类函数，而且异常处理的地方也有很多，很难通过代码审查找到问题所在，更有可能的是，还有其他的退出进程的调用场景没有列出来...使用Windbg调试器附加到进程之后，在TerminateProcess处设置断点，并且运行程序（有时候也设置断点在ntdll!ZwTerminateProcess，kernel32!

9681 0

windbg官方下载及其历史

WinDBG从零开始系列之Windbg历史和官方下载地址本文阅读重点 < 1 WinDBG从零开始系列之Windbg历史和官方下载地址 2 Windbg for windows 7 -...Windows 2000、Windows vista、Windows7/8/9等均是基于Windows NT的，于是在这几版Windows中均能使用 Windbg 进行调试。...在2000 年时，WinDBG的代码经历了一次非常大的重构，软件架构进行了重大调整，很多模块都进行了重新设计，大量源代码重写，WinDBG的版本号也复位到从1.0开始重新算起。...Windbg for windows 7 - 官方下载 x86: http://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4...for windows 10 (WinDbg 10.0.18362.1) - 官方下载 x86: https://download.microsoft.com/download/4/2/2/42245968

7.3K2 0

安装windows performance toolkit (WPT=WPR+WPA=Recorder+Analyzer) 报错无法定位程序输入点

ADK安装WPT的，微软官网写的Win8.1让用Win10 2004版的ADK，ADK里面是包含WPT的，我就用Win10 2004版的ADK在2012R2上安装WPT了，安装过程没报错，安装完成后运行...WPT的时候报上面那个错了，我印象中Win10低版本的ADK在2012R2上安装WPT是可以用的，怎么到Win10 2004版的ADK就不行了，可能是更新了。...版的SDK安装WPT吧，SDK里除过WPT还有WinDbg，但是每次安装时都提示这个，开始菜单就是没有windbg图片后来发现是自己姿势不对，应该进到Installers目录，里面有windbg安装包，...我单独安装后就有windbg了X64 Debuggers And Tools-x64_en-us.msiX86 Debuggers And Tools-x86_en-us.msi图片图片wpt和windbg...https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive/上图的报错，我就是卸载干净后，下载了这个版本然后重装搞定的。图片

1.8K3 0

搭建一个自动化分析 DUMP 平台

在开始之前需要说明的是，如果桌面端软件使用纯 WPF 实现，中途没有调用不安全的 C++ 库，那么 DUMP 平台几乎无用，原因是 WPF 是 .NET 应用，而 .NET 是安全的，除非是系统环境问题...但对于 dotnet 应用来说，依靠异常就完全足够了，只要遵循规范，那么基本只有内存爆了、无限递归等很有限的几个问题才能玩炸，其他情况都能稳稳接住在搭建 DUMP 平台的工作中，可以分为两个部分，第一个部分需要做到自己的构建平台上...分析在从用户端或开发端收集到 DUMP 文件之后，可以利用上面步骤创建出来的符号服务器和 DUMP 文件借助 WinDbg 来分析我推荐你在自动分析服务器上，先使用 WinDbg 手动分析一个 DUMP...我的符号文件大概有 10G 左右，大部分都是各个版本系统的文件在 Windows 下可以说 WinDbg 是最强的调试工具，自然 WinDbg 工具也可以了命令行版本的自动化方法，可以将命令通过命令行方式传入到...如我所在的团队，只需要处理甩锅就可以了，我只需要了解到当前 DUMP 的大概原因，通过分类算法处理 WinDbg 输出的文件，然后分为不同的其他团队就可以了在 WinDbg 中，可以使用 -c 命令，

1.5K1 0

Windows C++堆破坏场景及分析

，断点停在，我写的一个strcpy语句处，原来内存溢出导致了堆的破坏。...那么让我们一起来看看Windows中的堆破坏和分析方法。堆破坏在>中比较详细地讲解了堆的结构，这里我们简单说一说堆中对象存储的基本结构。...而是下次在堆上分配或者释放内存的时候，和这个Entry相关联的操作检查到堆破坏，从而导致程序崩溃。...可以的，但是在讲解这种方法之前，先讲解下: 如果非第一现场检测到堆破坏，如何进行分析。堆破坏之分析堆块内容 为什么要先讲解这种方法，而不是直接使用终极绝招，抓取第一现场呢？...heap -x 001c3ef0查看这个地址，居然得不到任何堆块信息，然而根据我们的样例来看，Windbg显示的这个结果也是不正确的，所以也不要完全相信调试器的结果。

1.1K2 0

PPLcontrol：一款功能强大的受保护进程安全控制工具

关于PPLcontrol PPLcontrol是一款功能强大的受保护进程安全控制工具，在该工具的帮助下，广大研究人员可以快速枚举出目标操作系统中受保护的进程，并获取指定进程的保护级别，或给目标进程设置任意保护级别...工具下载该工具基于C++开发，因此我们首先需要在本地设备上完成C++环境及代码构建工具的安装与配置，例如Visual Studio等。...Studio中打开工具的解决方案.sln文件； 2、选择Release/x64（该工具不支持x86）； 3、构建当前解决方案即可；工具使用 1、下载MSI驱动程序我们可以点击 https...2、安装MSI驱动程序注意事项：千万不要直接在你自己的本地主机中安装该驱动程序，请一定要使用虚拟机！！！...因此，在apimonitor.exe进程上设置任意保护级别是不够的。由于注入的DLL没有正确的签名，因此目标进程的Section签名标志可能会阻止加载它。

4921 0

SOS 安装程序 (dotnet-sos)

Windows 调试程序的最新版本（WinDbg 或 cdb 的版本 10.0.18317.1001 及更高版本）会从 Microsoft 扩展程序库自动加载 SOS。...在 macOS 和 Linux 上，将更新 .lldbinit 文件，以便扩展在 lldb 启动时自动加载。...如果要使用较旧的调试工具（低于版本 10.0.18317.1001）在 Windows 上安装 SOS，则需要通过在调试程序中运行 .load %USERPROFILE%\.dotnet\sos\sos.dll...以在 WinDbg 或 cdb 中手动加载扩展。...可以使用以下体系结构： Arm Arm64 X86 X64 卸载 dotnet-sos 卸载 SOS 扩展名，并在 Linux 和 macOS 上将其从 lldb 配置中删除。

9800 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭