[Windbg] kernel dump에서 switching to user process

일단 명령어가 먹히는 기준이, 

1. 라이브 디버깅이냐

2. 덤프를 떠온 것이냐의 차이가 있다. 

 

1은 좀 더 쓸 수 있고 좋은 명령어가 많다.

 

일단 모든 프로세스 정보를 출력한다.

!process 0 0 

> 모든 프로세스의 종류가 출력된다. 

만약 프로세스 이름을 알고 있으면, 

!process 0 0 a.exe 

이런식으로 찾아도 된다. 

 

1) 라이브 디버깅의 경우 .process /i EPROCESS주소 를 입력하면 해당 컨텍스트로 이동할 수 있다. 

즉, 퍼온 덤프로는 쓸 수 없다. 

연속기로 스레드는 .thread /p /r <threadid> 로 하면 된다. 

windbg의 F1 설명서에 아래와 같이 나온다.

.process (Set Process Context)

The .process command specifies which process is used for the process context.

.process [/i] [/p [/r]] [/P] [Process]

Parameters

/i

(Windows XP and later; live debugging only;

 

2) 그렇다면 포기하느냐, 그렇지 않다. 퍼온 덤프일 때는 

!process <PROCESS ID> 를 해서 맞춰준다. 

맞춘 후에 일일이 스레드 컨텍스트 맞추기 귀찮으니 3)으로 확장 명령을 때려준다. 

 

 

3) 여기에 아주 유용한 확장 명령어가 있다.

!dml_proc <해당 프로세스 컨텍슽느에 맞춰 프로세스/ 스레드별 정보로 출력된다> 

docs.microsoft.com/en-us/windows-hardware/drivers/debugger/-dml-proc?redirectedfrom=MSDN

dml_proc - Windows drivers

 

 

 

 

# 참고

 

docs.microsoft.com/en-us/windows-hardware/test/hlk/testref/use-kernel-debugging-to-debug-device-fundamentals-reliability-test-failures

Use kernel debugging to debug Device Fundamentals Reliability test failures

thepassion.tistory.com/168

[WinDbg] Kernel 모드에서 특정 프로세스 디버깅하기

stackoverflow.com/questions/22249728/switching-to-user-stack-in-kernel-dumps

switching to user stack in kernel dumps

platformengineer.tistory.com/53

System Hang 분석

ezbeat.tistory.com/145

커널모드에서 유저모드 디버깅