1) 커널의 모든 구조체 나열 : dt nt!_* (dt는 data type의 약자이고, nt는 윈도우 nt를 말하는게 아닐런지...ㅎㅎㅎ)
2) 커널의 특정 구조체 나열(인터럽트 관련) : dt nt!_*interrupt*
3) 특정 구조체의 구조 보기 : dt nt!_ktrap_frame
4) 특정 구조체 내의 하부 구조체까지 보는 명령 : dt nt!_ktrap_frame -r
5) 커널 내의 모든 스택 정보 보기 : !stacks 0
6) 시스템에 로드된 디바이스 드라이버 나열 : lm t n(lm은 list module의 약자 인듯...)
7) 전체 IDT(Interrupt Dispatch Table) 나열 : !idt -a
8) 빈번히(?) 호출된 interrupt 나열 : !idt => 어떤 빈도로 나열되는지 모르겠음.
9) 인터럽트 컨트롤러 나열 : !pic, !apic(작동 안함???)
10) io pic(programmable interrupt controller) 나열 : !ioapic
--------------------------------------- crash 분석 ---------------------------------------------------------
11) !analyze -v : 분석 결과 보기
12) kb : crash 당시의 커널 call stack 보기
13) !process -1 0 : crash 당시의 수행 중이던 프로세스
!process -1 7 : crash 당시의 수행 중이던 프로세스의 상세 정보 출력(7이 상세 정보 출력 옵션임)
- !process 0 0 : crash 당시의 가상메모리에 load 되어 있던 모든 프로세스(마지막이 0 flag 이므로, 간략히 출력 옵션임)
- !process [process 시작주소] : 프로세스 관련 상세 정보 출력,
위의 커맨드로 시작주소를 알 수 있음.
- 출력 정보 설명 :
PROCESS : 프로세스의 정보가 들어있는 EPROCESS Block의 주소
Cid : 프로세스 ID
Peb : Process Environment Block 의 주소
ParentCid : 부모 프로세스 ID
Image : 프로세스 이름
14) !vm : crash 당시의 가상 메모리 사용 내역 요약 및 프로세스 리스트
15) !poolused : crash 당시의 커널 paged&nonpaged pool list
- !poolused 2 : nonpaged pool 할당량 별로 정렬 후 출력
- !poolused 4 : paged pool 할당량 별로 정렬 후 출력
16) !thread [thread 시작주소] : !process [process시작주소]를 하면 프로세스에 포함된 thread의 정보가
나와서 확인 가능함.
- 출력 정보 설명 : teb(thread environment block 시작 주소)
17) !locks : crash 당시 resource lock 정보
18) !handle : crash 당시에 open된 handle 정보 나열
!handle [프로세스주소] : 해당 프로세스가 소유한 핸들을 출력함
!handle [프로세스주소] f
19) !stack [프로세스주소] : 프로세스 관련 Stack 정보를 보여줌
--------------------------------------- hang 분석 ------------------------------------------------------
1) !analyze -hang -v : hang 분석을 해줌
--------------------------------------- !analyze -v 해석 ------------------------------------------------------
덤프에 따라, 일부 값은 안 나올수도 있음.
-v(verbose) 옵션은 상세 결과를 출력하게 함
1) FAULTING_IP : fault가 발생했을 때의 명령의 포인터 값
2) BUGCHECK_STR : 발생한 BUGCHECK을 설명하는 문장임.
BUGCHECK은 주로 커널 모드 fault와 연관이 있음.
3) DEFAULT_BUCKET_ID : 현재의 fault가 어떤 범주의 fault에 속하는지를 알려줌
4) LAST_CONTROL_TRANSFER : 스택에서 이뤄진 마지막 두 함수 호출을 보여준다.
이들 주소에 ln 명령을 사용하면, 마지막 함수를 확인 가능함.
(ln [주소] : 주소가 나타내는 심볼을 표시함)
5) STACK_TEXT : 스레드의 전체 스택 트레이스를 보여준다.
6) STACK_COMMAND : fault를 유발한 스레드의 stack trace를 구하기 위해 실행된 명령을 보여준다.
; 는 구분자임.
6) FOLLOWUP_IP : fault를 유발했을 가능성이 가장 큰 명령을 보여줌
7) SYMBOL_NAME : fault가 발생한 심볼의 이름을 보여줌
nt!ExDeferredFreePool+540 으로 나오는 것은 심볼이름이 아님. 주소를 나타냄
Private Symbol 이 없기 때문에 해당 주소의 구체적인 함수명 같은 심볼을 안 보여줌
(MS만 볼 수 있음)
8) FOLLOWUP_NAME : 이 fault를 누가 사후 점검해야 하는지를 나타냄
보통 MachineOwner가 많음
9) IMAGE_NAME : fault가 발생한 이미지의 이름을 나타냄
10) MODULE_NAME : fault를 보이는 모듈의 이름을 나타냄
(lmvm [모듈명] 으로 조회 가능)
11) BUCKET_ID : fault가 속하는 문제의 범주를 보여줌
11) FOLLOW_UP : 이 fault에 가장 알맞은 소유자를 보여준다. 소유자를 찾을수 없다면 디폴트인 MachineOwner가 됨.