:strip_icc():strip_exif()/u/21673/crop65674aee06c6d_cropped.jpg?f=community)
Ik ben gevraagd een aantal crash dumps te bekijken van een serie Windows 2003 servers (waaronder terminal / citrix servers). Ik heb reeds crash dumps ontvangen. Het betreft hier full memory dumps.
Ik loop tegen een punt aan bij het instellen van Windbg (debugger). Als eerste stel ik het symbol path in naar de locatie waar ik de symbols voor de te analyseren systemen neer heb gezet. So far so good. Ik lees in veel tutorials dat je hierna de image path in moet stellen naar de locatie van de binary bestanden (exe en dll's etc) van het gecrashde systeem. Wanneer je bv het locale systeem wilt debuggen kun je hier c:\windows opgeven.
In mijn geval debug ik op een Windows XP werkstation terwijl de servers allemaal Windows 2003 zijn. De vraag is hoe maar vooral ook of ik een image path moet opgeven. Is dit uberhaubt nodig wanneer je met een full memory dump werkt? Ik lees overal dat dit in ieder geval bij minidumps (die gebruik ik niet) nodig is.
Ik heb geen toegang tot de daadwerkelijke systemen waardoor het verkrijgen van identieke binaries (zelfs patch levels zijn hierbij belangrijk las ik) erg moeilijk tot onmogelijk is.
Wie kan mij vertellen of de image path echt nodig is bij het analyseren van een full memory crash dump en wat het effect zal zijn op de analyse als ik deze niet opgeef?
Ik dacht altijd dat een full memory al executable images in zich had waardoor een image path opgeven niet nodig zou zijn maar vind niet echt iets wat dit onderschrijft of wat het tegendeel bewijst.
Dit topic heb ik natuurlijk gelezen
Ik loop tegen een punt aan bij het instellen van Windbg (debugger). Als eerste stel ik het symbol path in naar de locatie waar ik de symbols voor de te analyseren systemen neer heb gezet. So far so good. Ik lees in veel tutorials dat je hierna de image path in moet stellen naar de locatie van de binary bestanden (exe en dll's etc) van het gecrashde systeem. Wanneer je bv het locale systeem wilt debuggen kun je hier c:\windows opgeven.
In mijn geval debug ik op een Windows XP werkstation terwijl de servers allemaal Windows 2003 zijn. De vraag is hoe maar vooral ook of ik een image path moet opgeven. Is dit uberhaubt nodig wanneer je met een full memory dump werkt? Ik lees overal dat dit in ieder geval bij minidumps (die gebruik ik niet) nodig is.
Ik heb geen toegang tot de daadwerkelijke systemen waardoor het verkrijgen van identieke binaries (zelfs patch levels zijn hierbij belangrijk las ik) erg moeilijk tot onmogelijk is.
Wie kan mij vertellen of de image path echt nodig is bij het analyseren van een full memory crash dump en wat het effect zal zijn op de analyse als ik deze niet opgeef?
Ik dacht altijd dat een full memory al executable images in zich had waardoor een image path opgeven niet nodig zou zijn maar vind niet echt iets wat dit onderschrijft of wat het tegendeel bewijst.
Dit topic heb ik natuurlijk gelezen
[ Voor 10% gewijzigd door Bor op 10-08-2008 14:55 ]
Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
