开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何使用windbg从挂起转储中找到句柄所有者？

要使用Windbg从挂起转储中找到句柄所有者，请按照以下步骤操作：

首先，确保已经安装了Windows调试工具，并且已经将其添加到系统的PATH环境变量中。windbg -z <dump_file_name>.dmp其中，<dump_file_name>是转储文件的名称（不包括.dmp扩展名）。 4. 在Windbg中，使用以下命令加载符号文件：.symfix .reload这将加载正确的符号文件，以便在调试过程中获得更多信息。 5. 使用以下命令查找句柄所有者：!handle<handle_value>其中，<handle_value>是要查找的句柄值。 6. 如果需要查找更多信息，可以使用以下命令：!htrace<handle_value>这将显示句柄的使用历史记录。 7. 如果需要查找特定进程中的句柄所有者，请使用以下命令：!process<process_id>其中，<process_id>是要查找的进程ID。 8. 如果需要查找特定线程中的句柄所有者，请使用以下命令：!thread<thread_id>其中，<thread_id>是要查找的线程ID。
打开命令提示符，并使用cd命令导航到转储文件所在的目录。
使用以下命令启动Windbg：

通过以上步骤，您可以使用Windbg从挂起转储中找到句柄所有者。

相关搜索:如何从WinDBG MiniDump中的"dds esp“内存转储跳转到源代码？如何使用jmap从Kubernetes Pod获取Java堆转储？如何使用PHP(或任何其他后端语言)将数据从html表单转储到.json？如何使用windbg "dt“命令从名称空间污染的内存转储中获取信息如何使用windbg检查堆转储上的静态thread_local变量的内容？如何使用维基数据转储从维基数据页面/Q号获取相关的(英文)维基百科页面？js动态添加删除input iscroll.js 案例 chrome js设置宽度 js出现undefined

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

.NET应用程序调试—原理、工具、方法

随着应用程序的复杂度不断上升，要想将好的设计思想稳定的落实到线上，我们需要具备解决问题的能力。需要具备对运行时的错误进行定位且快速的解决它的能力。本篇文章我将分享一下我对.NET应用程序调试方面的学习和使用总结。

00

.NET应用程序调试—原理、工具、方法

该篇文章主要分享了作者在使用.NET进行应用程序调试方面的一些经验和技巧，包括异常处理、调试工具、代码调试、性能优化、内存泄漏检测、远程调试、日志记录、死锁、线程调试、Visual Studio调试、F5负载均衡和服务器端应用程序等方面的内容。作者还介绍了如何使用Visual Studio调试.NET应用程序，并提供了详细的步骤和截图。此外，作者还介绍了一些常用的.NET调试工具，如Fiddler、Wireshark、Process Monitor等，以及如何使用这些工具进行网络调试、进程监控、文件读写等方面的操作。最后，作者还分享了一些调试.NET应用程序的经验和技巧，包括如何识别和解决死锁、内存泄漏、性能问题等。

06

WinDbg调试.NET程序入门

俗话说：万事开头难！自从来到新公司遇到性能问题后，需要想办法解决这个问题，但是一直没有合适的性能分析工具，然后找到StevenChennet 大神帮忙，他用WinDbg工具远程帮我分析了一个 dump文件，但是只看到键盘 “啪啪啪”，得到了结果，却不是很清楚WinDbg神奇具体如何使用的。结果，第二天，性能问题又来了，总不能每次劳烦大神驾到，所以不得不自己开始学习WinDbg,这里记录一个入门过程。 1，首先，下载并安装WinDbg程序从下面的地址打开： https://msdn.microsoft.c

10个用于C＃.NET开发的基本调试工具

在调试软件时，工具非常重要。获取正确的工具，然后再调试时提取正确的信息。根据获取的正确的错误信息，可以找到问题的根源所在。找到问题根源所在，你就能够解决该错误了。

05

dump LSASS

进程的内存空间中存储的域，本地用户名和密码称为LSASS（本地安全机构子系统服务）。如果在目标上具有一定的权限，则可以授予用户访问LSASS的权限，并且可以提取其数据以进行横向移动和特权升级。

03

绕过卡巴进程保护的一些总结

前两天朋友去面试极光等一些企业遇到了一些问题记录了下来，问我有没有什么想法。问题是关于域管登录过的域内主机，卡巴之类的杀软保护了 lsass 进程，有哪些方法可以读取域管的明文密码。

01

搭建一个自动化分析 DUMP 平台

本文来告诉大家如何一步步搭建一个 DUMP 分析平台，核心是用来分析桌面端的应用软件，如 WPF 软件的 DUMP 文件。在开始之前需要说明的是，如果桌面端软件使用纯 WPF 实现，中途没有调用不安全的 C++ 库，那么 DUMP 平台几乎无用，原因是 WPF 是 .NET 应用，而 .NET 是安全的，除非是系统环境问题，否则依靠捕获异常所拿到的信息就完全超过了 DUMP 能获取的信息。因此本文的核心功能是提供给调用了不安全的 C++ 等语言编写的库的桌面端软件 DUMP 分析平台

01

使用windbg抓取崩溃文件和分析的过程

在软件编程中，崩溃的场景比较常见的。且说微软技术再牛X，也是会出现崩溃的场景。网上有一段Win98当着比尔盖茨蓝屏的视频非常有意思。（转载请指明出于breaksoftware的csdn博客）我们身边的很多软件都引入了dump生成和收集机制。但是一般情况下，它们都是生成minidump。因为minidump文件相对来说很小，方面我们收集上来进行分析。但是Minidump保存了很少的信息，在一些场景下，可能不能协助我们准确快速定位问题。

04

用Windbg来分析.Net程序的dump

介绍 1. 什么是Windbg WinDbg是微软发布的一款相当优秀的源码级(source-level)调试工具，可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。 WinDbg是微软很重要的诊断调试工具: 可以查看源代码、设置断点、查看变量, 查看调用堆栈及内存情况。 Dump文件是进程的内存镜像, 可以把程序的执行状态通过调试器保存到dump文件中 2. Windbg可以解决以下问题 ◆ 内存高 ◆ CPU高 ◆ 程序异常 ◆ 程序Hang死 3. 使用windbg进行调试

06

windbg使用

配置环境变量 _NT_SYMBOL_PATH,(;)路径分割符 .;SRV*http://msdl.microsoft.com/download/symbolsD:\Program Files\symbol

01

如何分析 WindowsDump：BSOD 分析与 WinDbg 使用（二）

本文介绍了如何使用Windows系统自带的WinDbg工具进行蓝屏死机（BSOD）故障排查和调试。通过介绍WinDbg工具的常见命令和功能，以及实际案例分析，帮助读者掌握如何利用WinDbg工具进行蓝屏死机故障的排除和调试。

02

volatility 各个选项的详解

auditpol：列出注册表HKLMSECURITYPolicyPolAdtEv的审计策略信息

02

WinDbg 漏洞分析调试（一）

0x00 引子最近开始要在部门内进行 WinDbg 漏洞分析方面的专题showcase，打算将每次分享的内容整理成文章，希望能写一个系列。另外，鉴于笔者还在学习中，不对的地方还望各位多多指正:D 0x01 概述本文将作为此系列的开篇，首先会提及Windows进程的知识，而后就进入正式的漏洞分析，此次选的是一个IE漏洞（CVE-2012-1876）。需要说明一点，随着微软在自身安全上的不断改进，漏洞利用的难度也越来越大，出于学习目的这里主要关注比较经典的漏洞，虽然有些可能比较老了，但还是很有借鉴意义的。

04

浏览器开发系列第五篇：Debugging with WinDBG

Windbg相信windows开发的人都知道，有些人用的溜儿溜儿的，有个crash，直接拿这个工具一分析，就定位出来了。非常好用。以前有个同事，做sdk开发的，会各种命令。来北京后，还去过微软面试（不过当时是做外包，挣得也不少），问的问题就包括会不会用windbg定位问题。当时就会几个简单的命令，最后还是没面上（不堪回首）。使用windbg调试windows下的程序，只要有符号文件，问题定位分分钟的事。下面主要讲一下使用windbg调试chromium。有些是从官网上对翻过来的，如果大家看不明白

09

使用Windbg调试内核

Windbg是微软开发的免费源码级调试工具。Windbg可以用于Kernel模式调试和用户模式调试，还可以调试Dump文件。

04

使用Windbg和SoS扩展调试分析.NET程序

在博客堂的不是我舍不得 - High CPU in GC（都是+=惹的祸，为啥不用StringBuilder呢？）、不是我舍不得 - .NET里面的Out Of Memory 看到很多人在问如何分析dump，所以就写下了这篇短文,抛砖引玉。一、安装 DebuggingToolsforWindows: 从以下 Microsoft 网站下载 DebuggingToolsforWindows： http://www.microsoft.com/whdc/devtools/debugging/installx8

详解反调试技术

反调试技术，恶意代码用它识别是否被调试，或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作，因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析，当恶意代码意识到自己被调试时，它们可能改变正常的执行路径或者修改自身程序让自己崩溃，从而增加调试时间和复杂度。很多种反调试技术可以达到反调试效果。这里介绍当前常用的几种反调试技术，同时也会介绍一些逃避反调试的技巧。一.探测Windows调试器恶意代码会使用多种技术探测调试器调试它的痕迹，其中包括使用Windows API、手动检测调试器人工痕迹的内存结构，查询调试器遗留在系统中的痕迹等。调试器探测是恶意代码最常用的反调试技术。 1.使用Windows API 使用Windows API函数检测调试器是否存在是最简单的反调试技术。Windows操作系统中提供了这样一些API，应用程序可以通过调用这些API，来检测自己是否正在被调试。这些API中有些是专门用来检测调试器的存在的，而另外一些API是出于其他目的而设计的，但也可以被改造用来探测调试器的存在。其中很小部分API函数没有在微软官方文档显示。通常，防止恶意代码使用API进行反调试的最简单的办法是在恶意代码运行期间修改恶意代码，使其不能调用探测调试器的API函数，或者修改这些API函数的返回值，确保恶意代码执行合适的路径。与这些方法相比，较复杂的做法是挂钩这些函数，如使用rootkit技术。 1.1IsDebuggerPresent IsDebuggerPresent查询进程环境块(PEB)中的IsDebugged标志。如果进程没有运行在调试器环境中，函数返回0；如果调试附加了进程，函数返回一个非零值。

04

系统学习Windows客户端开发

学习地图书籍推荐 C++ Primer Windows核心编程 TCP/IP详解卷1：协议设计模式GoF版编码规范 C++编码规范 C++语言 C++宏 C++11 用正则表达式查找提取

03

jvm内存分配及对象创建和回收过程

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

03

centos7使用lldb调试netcore应用转储dump文件

脚本大概思路就是下载如下所表示的组件所有源码，除llvm外的其他组件源代码解压到llvm/tools目录下,这样子源代码就全部准备好 BUILD_TARGET_COMPOMENTS="llvm clang compiler_rt libcxx libcxxabi clang_tools_extra lldb lld libunwind"; 接下来就是编译的过程了。

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭