Analizzare il dump di arresto anomalo in WinDbg per i byte privati ​​(diverso dall'heap gestito)?

Question

Voglio analizzare il file di arresto anomalo completo (* .dmp) e ottenere i dati dei byte privati. So che VMMap di SysInternals può dirmi quanto i miei byte privati, heap ecc sono tutti, ma quello di cui ho bisogno è se ho il dump, dovrei essere in grado di analizzarlo e ottenere la struttura (heap) Heap (heap) e i dati nel mucchio. Ho già finito con questo leggendo il PEB e poi camminando tra i cumuli.

Quello che non riesco a capire è come leggere i byte privati ​​(diversi da Heap, che dovrebbe essere il dato di processo per il codice nativo). Qualcuno potrebbe per favore indicarmi la direzione giusta in modo che io sia in grado di analizzare i byte privati ​​diversi dall'heap dal dump dello schianto.

Grazie.

Answer 1

affrontare -SOMMARIO

Nella prima sezione si ottiene una ripartizione di utilizzo:

--- Usage Summary ---------------- RgnCount ----------- Total Size -------- %ofBusy %ofTotal 
Free         170   6f958000 ( 1.743 Gb)   87.18% 
<unknown>        477   6998000 (105.594 Mb) 40.21% 5.16% 
Stack         417   5d00000 ( 93.000 Mb) 35.42% 4.54% 
Image         253   3970000 ( 57.438 Mb) 21.87% 2.80% 
Heap          20   600000 ( 6.000 Mb) 2.28% 0.29% 
TEB          93    5d000 (372.000 kb) 0.14% 0.02% 
Other          9    32000 (200.000 kb) 0.07% 0.01% 
PEB          1    1000 ( 4.000 kb) 0.00% 0.00% 

sconosciuta sarebbe allocazioni virtuali.

per elencare le aree di memoria sconosciuti è possibile eseguire:

affrontare -f: VAR

VAR come definito nel Debugger.chm - regioni Busy!. Queste aree includono tutti i blocchi di allocazione virtuale, l'heap SBH, la memoria dagli allocatori personalizzati e tutte le altre aree dello spazio indirizzo che non rientrano in nessun'altra classificazione.