調試逆向windbg怎么dump出一段內存？

Windbg生成轉儲文件的方法:

當程序崩潰時，為了日后調試和分析問題，可以使用WinDBG保存當時程序內存空間中的所有數據，生成的文件稱為轉儲文件。步驟:

1)打開WinDBG，將其附加到crash的程序進程中。

2)輸入生成轉儲文件的命令。

WinDBG生成轉儲文件的命令是。轉儲，可以選擇不同的參數來生成不同類型的轉儲文件。

選項(1):/m

命令行示例:。轉儲/米

注意:默認選項是生成一個標準的小型轉儲，轉儲文件通常很小，便于通過郵件或其他在網絡上傳輸。該文件包含的信息較少，只有系統信息、加載的模塊(DLL)信息、進程信息和線程信息。

選項(2):/ma

命令行示例:。轉儲/移動授權

注意:帶有盡可能多選項的小型轉儲(包括完整的內存內容、句柄、卸載的模塊等。)有一個很大的文件，但是如果條件允許(本地調試，局域網環境)，建議使用這個minidump。

選項(3):/mfhutwd

命令行示例:。轉儲/mFhutwd

注意:帶有數據段、非共享讀/寫內存頁面和其他有用信息的小型轉儲。包含通過小型轉儲可以獲得的最多信息。是一種妥協。

那怎么自動生成轉儲文件呢？例如，對方美國的電腦沒有。;我沒有windbg，所以這里有一個窗口系統附帶的工具，華生醫生。

操作模式很簡單:

只需運行——直接輸入drwtsn32-i，就會出現這樣的:提示。

這個命令真的很難記。說實話，還記得《福爾摩斯》里的華生醫生吧。

如果一個程序崩潰，它會自動生成一個轉儲，然后進入drwtsn32運行程序:。

只需找到相應路徑的DMP文件，它一般放在:以下路徑中。

c:文檔和設置所有用戶應用數據微軟沃森博士

下面的例子來自AWD。

代碼:

版權所有(c)Addison-W

w10模擬器怎么獲取藍牌子？

w10模擬器得到的是藍牌，系統重啟時內存中的轉儲，也就是當時內存中的數據。分析這個需要兩把刷子，所以你不用你不必費心去試，是嗎？！！

沒有打開DMP文件的工具，所以必須用imp工具導入數據庫或者調試windbg軟件。微軟在Windows中設計了一個功能，就是藍屏出現后，keBugCheck可以通過這種獲得藍色的品牌。