Home > Tech > [Windbg 第9回] Windbgでよく使うコマンド(その2)クラッシュ時に読み込まれていたドライバーを確認する

[Windbg 第9回] Windbgでよく使うコマンド(その2)クラッシュ時に読み込まれていたドライバーを確認する

November 20th, 2010

今回は、前回の続きを書こうと思います。Windbgでブルースクリーン発生時に読み込まれていたドライバーを確認するコマンドについて書こうと思います。

クラッシュ時のドライバー情報は確認できましたか?

1.x *!コマンド

ブルースクリーン発生時のデバイスドライバ(.sys)及びダイナミックライブラリ(.dll)のロード、アンロード状態を表示します。

コマンド実行例


1: kd> x *!

start    end        module name

80800000 80a7a000   nt         (pdb symbols)          C:\WINDOWS\Symbols(2003sp2x86)\ntkrnlmp.pdb\A91CA63E49A840F4A50509F90ADE10D52\ntkrnlmp.pdb

80a7a000 80aa6000   hal        (pdb symbols)          C:\WINDOWS\Symbols(2003sp2x86)\halmacpi.pdb\F799635F9A7C45BDBF439633754B99B61\halmacpi.pdb

b93e9000 b9407000   EraserUtilDrv10741   (deferred)            

b9407000 b9467000   eeCtrl     (deferred)            

b961f000 b9688000   SPBBCDrv   (deferred)            

b9688000 b969a320   NAVENG     (deferred)            

b969b000 b976cc40   NAVEX15    (deferred)            
----------------------一部省略-----------------------

f780f000 f7817000   rasacd     (deferred)            

f7991000 f7992280   swenum     (deferred)            

f7995000 f7996580   USBD       (deferred)            

Unloaded modules:

b9964000 b99c7000   eeCtrl.sys

b97bd000 b97d0000   NAVENG.SYS

b97d0000 b98a2000   NAVEX15.SYS
----------------------一部省略-----------------------

f7547000 f7553000   vga.sys

f7577000 f7580000   kbdhid.sys

f7597000 f75a1000   Flpydisk.SYS

f7517000 f7522000   Fdc.SYS

baf5c000 baf6e000   i8042prt.sys

2.lm t nコマンド

このコマンドはダンプファイル中のデバイスドライバ全ての情報を表示します。DLLは表示されません。

コマンド実行例

1: kd> lm t n
start    end        module name
80800000 80a7a000   nt       ntkrnlmp.exe Mon Mar 05 22:02:02 2007 (45EC14CA)
80a7a000 80aa6000   hal      halmacpi.dll Sat Feb 17 14:48:26 2007 (45D6972A)
b93e9000 b9407000   EraserUtilDrv10741 EraserUtilDrv10741.sys Fri Jan 18 11:44:27 2008 (4790128B)
----------------------一部省略-----------------------
f780f000 f7817000   rasacd   rasacd.sys   Tue Mar 25 16:11:50 2003 (3E800136)
f7991000 f7992280   swenum   swenum.sys   Sat Feb 17 15:05:56 2007 (45D69B44)
f7995000 f7996580   USBD     USBD.SYS     Tue Mar 25 16:10:39 2003 (3E8000EF)

Unloaded modules:
b9964000 b99c7000   eeCtrl.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
----------------------一部省略-----------------------
f7577000 f7580000   kbdhid.sys
    Timestamp: unavailable (00000000)
    Checksum:  00000000
f7597000 f75a1000   Flpydisk.SYS
    Timestamp: unavailable (00000000)
    Checksum:  00000000
f7517000 f7522000   Fdc.SYS
    Timestamp: unavailable (00000000)
    Checksum:  00000000
baf5c000 baf6e000   i8042prt.sys

3.lmvmコマンド

このコマンドを使ってドライバーがどこに保存されているのか確認できます。analyze -vやKBコマンドで表示されたStack Text中のモジュールが何なのか、どこのファイルなのか知りたいときに便利です。OS起動後にそのファイルのプロパティーを確認して、ファイルのバージョンやメーカーを特定します。

コマンド実行例

1: kd> lmvm sysplant
start    end        module name
b9a3f000 b9a59000   SysPlant   (no symbols)          
    Loaded symbol image file: SysPlant.sys
    Image path: \SystemRoot\SYSTEM32\Drivers\SysPlant.sys
    Image name: SysPlant.sys
    Timestamp:        Sat Sep 08 13:55:14 2007 (46E22B32)
    CheckSum:         0002174B
    ImageSize:        0001A000
    Translations:     0000.04b0 0000.04e0 0409.04b0 0409.04e0

Categories: Tech Tags: , , ,
Comments are closed.
Theme by NeoEase. Valid XHTML 1.1 and CSS 3.