LiveKd是Windows内核调试工具包中的一款非常出色的软件。它可在故障转储文件上执行所有调试器命令,让用户深入系统内部,支持丰富的功能和操作,并提供多种命令供使用。LiveKd是一款性能不俗的微软内核调试工具,为用户提供了便捷高效的内核级别调试方案。
安装方法
如果将工具安装到其默认目录 \Program Files\Microsoft\Debugging Tools for Windows,则可以从任何目录中运行 LiveKD;否则,应将 LiveKD 复制到安装了工具的目录中。
如果尚未为运行 LiveKD 的系统安装符号,LiveKD 会询问是否希望系统自动将系统配置为使用 Microsoft 的符号服务器 (请参阅调试工具,以获取有关符号文件和 Microsoft 符号服务器) 的信息Windows文档。
注意: Microsoft 调试器会抱怨它找不到LIVEKDD.SYS符号。 这是预期的,因为我没有为LIVEKDD.SYS提供符号,并且不会影响调试器的行为。
使用方法
使用:
liveKd [-w]|[-k <调试器>]|[-o filename]] [-vsym] [-m[flags] [[-mp process]|[pid]]][调试器选项]
liveKd [-w]|[-k <调试器>]|[-o filename]] -ml [调试器选项]
liveKd [-w]|[-k <调试器>]|[-o filename]] [[-hl]|[-hv <VM 名称> [[-p]|[-hvd]]] [调试器选项]
参数 说明
-hv 指定要调试的 Hyper-V VM 的名称或 GUID。
-hvd 仅包括虚拟机监控程序页面 (Windows 8.1及更高版本) 。
-hvl 列出运行 Hyper-V VM 的名称和 GUID。
-k 指定要执行的调试器映像的完整路径和文件名
-m 创建镜像转储,这是内核内存的一致视图。
只有内核模式内存可用,此选项可能需要大量可用的物理内存。 一个标志掩码,指定要包含的区域(可选) (从下表绘制,默认0x18F8) :
0001 - 处理专用文件,0002 - 映射文件,
0004 - 共享部分,0008 - 页表页,
0010 - 分页池,0020 - 非分页池,
0040 - 系统 PTE,0080 - 会话页,
0100 - 元数据文件,0200 - AWE 用户页,
0400 - 驱动程序页,0800 - 内核堆栈,
1000 - WS 元数据,2000 - 大页
默认捕获大多数内核内存内容,建议这样做。
此选项可与 -o 一起使用,以更快地保存一致的转储。
镜像转储需要Windows Vista 或 Windows Server 2008 或更高版本。
Sysinternals RamMap 提供了可用于包含的可用内存区域的分布的图形摘要。
-ml 仅使用本机支持 (Windows 8.1及更高版本生成实时转储) 。
-mp 指定一个进程,其用户模式内存内容应包含在镜像转储中。 仅对 -m 选项有效。
-o 将 memory.dmp 保存到磁盘,而不是启动调试器。
-p 在 LiveKd 处于活动状态时暂停目标 Hyper-V VM, (建议与 -o) 一起使用。 指定要调试的 Hyper-V VM 的名称或 GUID。
-hvl 列出运行 Hyper-V VM 的名称和 GUID。
-vsym 显示有关符号加载操作的详细调试信息。
-w 运行 windbg 而不是 kd
所有其他选项将传递到调试器。
注意:如果调试器挂起,请使用Ctrl-Break终止并重启调试器。
默认情况下,LiveKd 运行kd.exe。