¿Analizar el volcado de bloqueo en WinDbg para bytes privados (que no sean el montón administrado)?

Question

Quiero analizar el archivo de volcado de bloqueo completo (* .dmp) y obtener los datos de los bytes privados. Sé que VMMap de SysInternals puede decirme cuánto mis bytes privados, heap, etc. son todos, pero lo que necesito es si tengo el volcado, debería ser capaz de analizarlo y obtener la estructura y los datos del Heap (Heap gestionado) en el montón. Ya he terminado con esto leyendo el PEB y luego caminando entre montones.

Lo que no puedo descifrar es cómo leer los bytes privados (aparte de Heap, que se supone que es el proceso de datos para el código nativo). ¿Podría alguien señalarme en la dirección correcta para poder analizar los bytes privados que no sean el montón del volcado de datos bloqueados?

Gracias.

Answer 1

abordar -summary

En la primera sección se obtiene un desglose del uso:

--- Usage Summary ---------------- RgnCount ----------- Total Size -------- %ofBusy %ofTotal 
Free         170   6f958000 ( 1.743 Gb)   87.18% 
<unknown>        477   6998000 (105.594 Mb) 40.21% 5.16% 
Stack         417   5d00000 ( 93.000 Mb) 35.42% 4.54% 
Image         253   3970000 ( 57.438 Mb) 21.87% 2.80% 
Heap          20   600000 ( 6.000 Mb) 2.28% 0.29% 
TEB          93    5d000 (372.000 kb) 0.14% 0.02% 
Other          9    32000 (200.000 kb) 0.07% 0.01% 
PEB          1    1000 ( 4.000 kb) 0.00% 0.00% 

Desconocido sería allocs virtuales.

para enumerar las regiones de memoria desconocidos puede ejecutar:

abordar -f: VAR

VAR como se define en el Debugger.chm - regiones ocupadas!. Estas regiones incluyen todos los bloques de asignación virtuales, el almacenamiento dinámico SBH, la memoria de asignadores personalizados y todas las demás regiones del espacio de direcciones que no entran en ninguna otra clasificación.