식별 호스트에서 윈도우 사용자 모드로 덤프파일

StackOverflow https://stackoverflow.com/questions/103453

  •  01-07-2019
  •  | 
  •  

문제

이 있는 쉬운 방법을 찾는 호스트 이름을 기계는 생성에 사용자 모드로 덤프를 통해 파일 WinDbg?

거나 최소한의 어떤 부분을 식별하는 정보를 시도하고 확인하는 두 개의 덤프파일에서 나온 동일한 시스템입니다.

도움이 되었습니까?

해결책

당신이 할 수 있게 분석함으로써 사용자는 dump 파일 WinDbg.실행 !peb 명령의 값 COMPUTERNAME 에서 출력됩니다.

다른 팁

에서 디버거.chm:

을 찾는 컴퓨터 이름에서 커널 모드 Dump 파일

을 확인해야 할 경우 이름을 컴퓨터의 충돌을 덤프를 만들어 사용할 수 있습니다!peb 확장고의 가치에 대한 컴퓨터 그것은 그것의 출력 합니다.

할 수 있습니다 또는 다음과 같은 명령을 사용합니다: 

0: kd> x srv!SrvComputerName
be8ce2e8  srv!SrvComputerName  = _UNICODE_STRING "AIGM-MYCOMP-PUB01"

을 찾아서 IP 주소에서 커널 모드 Dump 파일

을 결정하는 컴퓨터의 IP 주소는 충돌을 덤프를 만들어,스레드 스택을 표시하는 일부를 송/수신 네트워크를 활동입니다.오픈 하나의 패킷을 전송하거나 수신된 패킷.IP 주소에서 볼 수 있는 패킷을 전송합니다.

편집:고 노력하는 방법에 따라 dump 파일을 만들었,PEB 정보를 사용할 수 없지 않습니다 그래서 을 찾을 수있을 컴퓨터 이름입니다.는 경우에 특히 무언가를 통해 온 Microsoft Winqual 사이트가 소독되어 있어야 합니다.

바로 가기를 사용하여 환경변수에는 PEB:!는 백분율 컴퓨터 이름

IP 주소 목록:
3:kd>뒤 poi(poi(srvnet!SrvAdminIpAddressList))
ffffe001d3d58450 "127.0.0.1" 3: kd> du
ffffe001d3d58464"::1"
3:kd>
ffffe001d3d5846c "169.254.66.248"
3: kd>
ffffe001d3d5848a""
3:kd>
ffffe001d3d5848c "fe80::f0cb:5439:f12f:42f8"
3: kd>
ffffe001d3d584c0""
3:kd> ffffe001d3d584c2 "192.168.104.249" 3: kd> ffffe001d3d584e2""
3:kd>
ffffe001'd3d584e4"fe80::fc6f:ae16:b336:83dc"
3:kd>

에서 커널 모드와 사용자 모드

10: kd> !envvar COMPUTERNAME
COMPUTERNAME = a-host-name

검색 컴퓨터 이름을 일명 호스트명 대상의 PC.

그것은 필요 EXTS.dll 확장을 할로드,및 Windows XP+(W10RS3 글을 쓰는 시점에서).

커널 모드에서,이 작동하지 않을 직접 !envvar 반 빈

10: kd> !peb
PEB NULL...

당신의 현재 상황은 유휴 thread.

WinDbg(Windows10RS3 16299.15SDK)에 대한 도움말 !process 만 나열 비트 0-4,그러나 내가 발견 비트 5 덤프 전체 환경을 함께 사용할 경우 0 과 4.플= 0b110001.그래서 나는 이것을 사용하는 동안 WinDbg 시작하는 스크립트를 자동으로 로그 컴퓨터 이름입니다.

!process 0 0x31 wininit.exe

을 덤프하는 모든 환경변수:

10: kd> !process 0 0x31 wininit.exe
PROCESS ffffc485c82655c0
    SessionId: 0  Cid: 02d0    Peb: 8d04c6b000  ParentCid: 0258
    DirBase: 40452f000  ObjectTable: ffffe30b1150fb40  HandleCount: 163.
    Image: wininit.exe
    VadRoot ffffc485c862b990 Vads 61 Clone 0 Private 326. Modified 12. Locked 2.
    DeviceMap ffffe30b0a817880
    Token                             ffffe30b1150f060
    ElapsedTime                       00:00:18.541
    UserTime                          00:00:00.000
    KernelTime                        00:00:00.015
    QuotaPoolUsage[PagedPool]         121696
    QuotaPoolUsage[NonPagedPool]      11448
    Working Set Sizes (now,min,max)  (1750, 50, 345) (7000KB, 200KB, 1380KB)
    PeakWorkingSetSize                1697
    VirtualSize                       2097239 Mb
    PeakVirtualSize                   2097239 Mb
    PageFaultCount                    2104
    MemoryPriority                    BACKGROUND
    BasePriority                      13
    CommitCharge                      470

    PEB at 0000008d04c6b000            
    InheritedAddressSpace:    No
    ReadImageFileExecOptions: No
    BeingDebugged:            No
    ImageBaseAddress:         00007ff7be3d0000
    Ldr                       00007ff8dff4f3a0
    Ldr.Initialized:          Yes
    Ldr.InInitializationOrderModuleList: 000001be470e1c10 . 000001be47128d60
    Ldr.InLoadOrderModuleList:           000001be470e1d80 . 000001be47128d40
    Ldr.InMemoryOrderModuleList:         000001be470e1d90 . 000001be47128d50
                    Base TimeStamp                     Module
            7ff7be3d0000 600d94df Jan 24 10:40:15 2021 C:\Windows\system32\wininit.exe
            7ff8dfdf0000 493793ea Dec 04 03:25:14 2008 C:\Windows\SYSTEM32\ntdll.dll
...
    SubSystemData:     0000000000000000
    ProcessHeap:       000001be470e0000
    ProcessParameters: 000001be470e1460
    CurrentDirectory:  'C:\Windows\system32\'
    WindowTitle:  '< Name not readable >'
    ImageFile:    'C:\Windows\system32\wininit.exe'
    CommandLine:  'wininit.exe'
    DllPath:      '< Name not readable >'
    Environment:  000001be47104460
        ALLUSERSPROFILE=C:\ProgramData
        CommonProgramFiles=C:\Program Files\Common Files
        CommonProgramFiles(x86)=C:\Program Files (x86)\Common Files
        CommonProgramW6432=C:\Program Files\Common Files
        COMPUTERNAME=a-host-name
        ComSpec=C:\Windows\system32\cmd.exe
        NUMBER_OF_PROCESSORS=16
        OS=Windows_NT
        Path=C:\Windows\system32;C:\Windows;C:\Windows\System32\Wbem;C:\Windows\System32\WindowsPowerShell\v1.0\
        PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
        PROCESSOR_ARCHITECTURE=AMD64
        PROCESSOR_IDENTIFIER=AMD64 Family 23 Model 1 Stepping 1, AuthenticAMD
        PROCESSOR_LEVEL=23
        PROCESSOR_REVISION=0101
        ProgramData=C:\ProgramData
        ProgramFiles=C:\Program Files
        ProgramFiles(x86)=C:\Program Files (x86)
        ProgramW6432=C:\Program Files
        PSModulePath=%ProgramFiles%\WindowsPowerShell\Modules;C:\Windows\system32\WindowsPowerShell\v1.0\Modules
        PUBLIC=C:\Users\Public
        SystemDrive=C:
        SystemRoot=C:\Windows
        TEMP=C:\temp
        TMP=C:\temp
        USERNAME=SYSTEM
        USERPROFILE=C:\Windows\system32\config\systemprofile
        windir=C:\Windows

당신은 클릭해 PEB dml 링크,스위치 또는 컨텍스트를 통해 .process /p <PROCESS_ADDRESS>, 다음 !envvar COMPUTERNAME 또한 작품이다.

라이센스 : CC-BY-SA ~와 함께 속성
제휴하지 않습니다 StackOverflow
scroll top