引用:
作者: 風流瀟灑
我剛剛點了
7c920000 7c9b5000 ntdll ,出現以下的結果,但看不到您所謂的斷層(.exe)之類的,以下這一段如何分析呢?
0:032> lmvm ntdll
start end module name
7c920000 7c9b5000 ntdll T (no symbols)
Loaded symbol image file: ntdll.dll
Image path: C:\WINDOWS\system32\ntdll.dll
Image name: ntdll.dll
Timestamp: Wed Aug 04 15:47:32 2004 (41109494)
CheckSum: 00092448
ImageSize: 00095000
File version: 5.1.2600.2180
Product version: 5.1.2600.2180
File flags: 0 (Mask 3F)
File OS: 40004 NT Win32
File type: 2.0 Dll
File date: 00000000.00000000
Translations: 0000.04b0 0000.04e0 0409.04b0 0409.04e0
|
所謂的 執行的斷層 是指
機械碼指令暫存器 執行到這一行後
因為事故 就無法執行下一行指令了
引用:
作者: mini
比如:
FAULTING_MODULE: 804d8000 nt
點一下 nt
會分析出
kd> lmvm nt
start end module name
804d8000 806ec480 nt T (no symbols)
Loaded symbol image file: ntoskrnl.exe
....
那不就更清楚表示出
執行時的斷層出現在 ntoskrnl.exe 裡嗎 ?
|
是指本來
FAULTING_MODULE: 804d8000 nt
只 指出 是 nt模組
但點下去後
就出現完整的
Loaded symbol image file: ntoskrnl.exe
原來 nt模組 是指 ntoskrnl.exe ...