Debugging 从WinDBG获取完整堆栈跟踪(用户堆栈和内核堆栈)
我在nt中设置了一个断点!来自Windbg的ntWriteFile。我正在使用内核调试,我希望在某些程序(例如notepad.exe)最终调用此API时获得用户堆栈+内核堆栈跟踪。当断点启动时,我将执行以下操作:Debugging 从WinDBG获取完整堆栈跟踪(用户堆栈和内核堆栈),debugging,stack,windbg,Debugging,Stack,Windbg,我在nt中设置了一个断点!来自Windbg的ntWriteFile。我正在使用内核调试,我希望在某些程序(例如notepad.exe)最终调用此API时获得用户堆栈+内核堆栈跟踪。当断点启动时,我将执行以下操作: .reload /user K 但结果与此类似(在本例中,notepad.exe是当前进程): 我的问题是: 什么是0xbadb0d00?我总是看到这个地址 地址0x320ef04是用户登录(在本例中为notepad.exe)上的函数,调用从该地址开始吗?在这种情况下,这将是完整的堆
.reload /user
K
但结果与此类似(在本例中,notepad.exe是当前进程):
我的问题是:
我正在调试的Windows主机是Windows 7 32位。我正在调试Windows 7 32位。符号路径正确。是否启用了ksl(“启用加载内核调试器符号”)全局延迟?
# ChildEBP RetAddr
00 8f5a8c34 76e96c73 nt!NtWriteFile
01 8f5a8c38 badb0d00 ntdll!KiFastSystemCall+0x3
02 8f5a8c3c 0320ef04 0xbadb0d00
03 8f5a8c40 00000000 0x320ef04