Windows内核 - 调试：符号文件和Windbg的安装与环境配置

 

flyingstarsoul

2007-9-21

 

 

       内核调试：

内核调试可以帮助我们查看内核的内部数据结构，跟踪内核中的函数，从而探查 Windows 的内部机理。内核调试工具有 Microsoft 的 Windows 调试工具箱、 Compuware NuMega 的 SoftIce 、www.sysinternals.com上的 LiveKD 等等。

 

       内核调试所需的符号文件：

符号文件包含了函数和变量的名称，由链接器产生，在调试过程中被用来引用和显示这些名称。为了使用任何一个内核调试工具来查看内核数据结构，必须首先至少获得内核映像 Ntoskrnl.exe 的正确的符号文件，即二者版本完全匹配。利用 Microsoft 的按需符号服务器，可以得到当前调试所需的正确版本，首先需要设置环境变量来指定符号文件的路径。

假如你想把符号文件存放在 C:/WINDOWS/Symbols 目录下，环境变量设置如下：

 

系统环境变量名： _NT_SYMBOL_PATH

本例变量值： srv*C:/WINDOWS/Symbols*http://msdl.microsoft.com/download/symbols

 

其中， http://msdl.microsoft.com/download/symbols 是 Microsoft 符号服务器。当运行内核调试器并在需要符号文件的时候，将连接到该服务器下载正确的符号文件。可以下载工具 LiveKD 放到 Windbg （见下文）安装目录下，第一次在命令行运行 Livekd.exe ，将会自动下载符号文件到指定的目录（耗时长，勿关闭命令行窗口，否则可能出现错误，导致符号文件不能正常使用）。

 

Microsoft Windows调试工具箱：

 

有命令行版本（ KD.exe ）和图形界面版本（ Windbg.exe ），可以到 http://www.microsoft.com/whdc/DevTools/Debugging/default.mspx 下载。有三种类型的内核调试类型：

Ø         打开一个崩溃转储文件。当 Windows 系统崩溃的时候会产生这样的文件。

Ø         连接到一个正在运行的系统上，检查该系统的状态或设置断点来调试设备驱动程序代码。一般要求有两台计算机——目标计算机（被调试系统）和控制主机（运行调试器），本机 + 虚拟机调试亦可。操作细节超出本文范围。

Ø         对于 Windows XP 和 Windows Server2003 ，可以连接到本地系统上来查看系统状态，称为本地内核调试。方法是：安装 Windbg 后，选择“ File ”菜单的“ Kernel Debug ”菜单项，再点击“ Local ”标签，再点“ OK ”按钮。在本地内核调试模式下，有些命令不能正常工作（如查看内核栈、用 .dump 命令创建一个内存转储）。当基本的本地内核调试功能不能工作的时候，可以用 www.sysinternals.com 上的免费工具LiveKD.exe 。

 

 

 

 

参考文献：

[1] 深入解析 Windows 操作系统（第 4 版）， 2007.

[2] http://www.microsoft.com.