1 需求场景
对于个别程序陷入内核不返回,或者无法呼出调试器等场景,往往需要查看内核层数据再进一步分析。通常用scrolllock法触发蓝屏。但是这样做一则需要事先配置好蓝屏设置,二则蓝屏后,故障现象就被终止了。
livekd就可克服上述缺点,它能够即时获得内核层dmp,不影响Windows继续运行。当然,livedkd毕竟是个应用程序,前提是至少要能够执行livekd。
livekd需要配合kd.exe或者windbg.exe使用。推荐直接下载windbg,这里面包含了二者。
livekd还需要ntoskrnl.exe的pdb符号。
2 下载和部署
2.1 下载livekd和windbg
livekd下载地址https://download.sysinternals.com/files/LiveKD.zip
windbg下载地址
32位windows就下载这个https://pan.ruijie.com.cn/share/5a2eed7bd0ec610ca864e57bcb
64位windows就下载这个https://pan.ruijie.com.cn/share/8f388a443886d0f980772e9e13
2.2 下载ntoskrnl的pdb
故障Windows内解压livekd和windbg。
若不存在环境变量**_NT_SYMBOL_PATH**,用管理员权限启动cmd,执行
\AA\BB\CC\livekd\livekd(或64).exe -vsym
这条命令会自动帮你把它设置出来。
2.2.1 若故障机可以上外网
执行
\DD\EE\FF\windbg(x32或64)\symchk.exe /if C:\Windows\System32\ntoskrnl.exe /s %_NT_SYMBOL_PATH%
顺利地话,这条命令会帮你下载ntkrnlmp.pdb到C:\Symbols\ntkrnlmp.pdb里面的某个文件夹下。而且cmd里提示
SYMCHK: FAILED files = 0
SYMCHK: PASSED + IGNORED files = 1
2.2.2 若故障机不能上外网或者下载pdb失败
那把故障机的C:\Windows\System32\ntoskrnl.exe拿回来,用同样的方法下载pdb
\DD\EE\FF\windbg(x32或64)\symchk.exe /if \故障机的\ntoskrnl\的路径\ntoskrnl.exe /s srv*C:\Symbols*http://msdl.microsoft.com/download/symbols
下载成功后把C:\Symbols\ntkrnlmp.pdb里面的最新的文件夹(它的名字是纯字母数字)复制到故障机的C:\Symbols\ntkrnlmp.pdb下面。
3 创建dmp
故障机内管理员权限执行cmd,执行
cd /d \DD\EE\FF\windbg(x32或64)\
\AA\BB\CC\livekd\livekd(或64).exe -vsym -o \gg\hh\ii\memory.dmp -k \DD\EE\FF\windbg(x32或64)\kd.exe
稍后即可获得一个若干GB的\gg\hh\ii\memory.dmp。若要传输它,请务必压缩一下。
4 实时查看
故障机内管理员权限执行cmd,执行
cd /d \DD\EE\FF\windbg(x32或64)\
\AA\BB\CC\livekd\livekd(或64).exe -vsym -w -k \DD\EE\FF\windbg(x32或64)\windbg.exe
稍后即会启动windbg并查看当前内核的快照,但是没法下断点。终止windbg后,livekd还会提示你是否要继续启动windbg以查看更新的快照。
|