Análisis de un archivo de volcado

Análisis de un archivo de volcado en modo kernel mediante WinDbg

Los archivos de volcado generalmente terminan con la extensión .dmp o .mdmp. Puede usar recursos compartidos de red o nombres de archivo de convención de nomenclatura universal para el archivo de volcado de memoria. El procesador o la versión de Windows que se usa para crear un archivo de volcado de memoria no necesita coincidir con la plataforma en la que se ejecuta KD.

Para analizar un archivo de volcado, inicie WinDbg e incluya la opción de línea de comandos -z :

ConsolaCopiar

windbg -y <SymbolPath> -i <ImagePath> -z <DumpFileName>

La opción -v , que es el modo detallado, también es útil. Para obtener una lista completa de las opciones, consulta Opciones de línea de comandos de WinDbg.

Si WinDbg ya se está ejecutando en modo inactivo, abra un volcado de memoria seleccionando El archivo | Abra el comando de menú Volcado de memoria o presione Ctrl+D. Cuando aparezca el cuadro de diálogo Abrir volcado de memoria, escriba la ruta de acceso completa y el nombre del archivo de volcado de memoria en Nombre de archivo, o use el cuadro de diálogo para seleccionar una ruta de acceso y un nombre de archivo. Después de especificar un archivo, seleccione Abrir.

O bien, abra un archivo de volcado después de ejecutar el depurador mediante el comando .opendump (Abrir archivo de volcado de memoria), seguido del comando g (Go).

Puede depurar varios archivos de volcado al mismo tiempo. Incluya varios modificadores -z en la línea de comandos, cada uno seguido de un nombre de archivo diferente o ejecute .opendump para agregar otros archivos de volcado como destinos del depurador. Para obtener más información sobre cómo controlar una sesión de varios destinos, consulte Depuración de varios destinos.

Los archivos de volcado de memoria se pueden empaquetar en un archivo CAB. Si especifica el nombre de archivo, incluida la extensión de nombre de archivo .cab , después de la opción -z o como argumento para un comando .opendump , el depurador lee los archivos de volcado directamente.

Si hay varios archivos de volcado almacenados en un único archivo CAB, el depurador solo lee uno de ellos. El depurador no lee ningún otro archivo del CAB, incluso si hay archivos de símbolos u otros archivos asociados al archivo de volcado de memoria.

Análisis del archivo de volcado de memoria

Para analizar un volcado de memoria de kernel o un pequeño volcado de memoria, es posible que tenga que establecer la ruta de acceso de la imagen ejecutable para que apunte a los archivos ejecutables en la memoria durante el bloqueo.

El análisis de un archivo de volcado de memoria es similar al análisis de una sesión de depuración activa. Para obtener más información sobre los comandos disponibles para depurar archivos de volcado de memoria en modo kernel, consulte la sección Referencia de comandos del depurador .

En la mayoría de los casos, empiece por usar !analyze. Este comando de extensión realiza un análisis automático del archivo de volcado de memoria, que a menudo proporciona información útil.

El comando .bugcheck (Mostrar datos de comprobación de errores) muestra el código de comprobación de errores y sus parámetros. Para obtener información sobre un error específico, consulte la referencia de código de comprobación de errores.

Las siguientes extensiones del depurador son especialmente útiles para analizar un volcado de memoria en modo kernel:

Para obtener técnicas para leer tipos específicos de información de un archivo de volcado de memoria, vea Extracción de información de un archivo de volcado de memoria.