.dump (建立傾印檔案)
.dump 命令會建立使用者模式或內核模式損毀傾印檔案。
.dump [options] FileName
.dump /?
參數
選項
代表下列一或多個選項。
/一個
為所有進程建立傾印(需要 -u)。
/b[a]
CAB 中的套件傾印和刪除傾印。 如果指定選項,則會包含其他資訊。
/c <批注>
新增批注(並非所有格式都支援)。
/j <addr>
提供JIT_DEBUG_INFO位址。
/o
以相同名稱覆寫現有的傾印檔案。 如果未使用此選項,而且有具有相同檔名的檔案,則不會寫入傾印檔案。
/u
將唯一標識元附加至傾印名稱。
/f[FullOptions]
(核心模式:) 建立完整的記憶體轉儲。
(使用者模式:)不支援。 先前,此選項會建立 完整的使用者模式傾印,這是舊版格式,其資訊小於較新的小型傾印格式。 如需詳細資訊,請參閱 使用者模式傾印檔案的類型。
您可以新增下列 FullOptions 來變更傾印檔案的內容;此選項會區分大小寫。
| FullOption | 效果 |
|---|---|
| y | 將AVX緩存器資訊新增至傾印檔案。 |
/m[MiniOptions]
建立小型記憶體轉儲(在核心模式中)或小型傾印(在使用者模式中)如需詳細資訊,請參閱使用者模式傾印檔案。 如果未指定 /f 和 /m,則 /m 是預設值。
在使用者模式中, 可以遵循 /m 搭配其他 MiniOptions 指定要包含在傾印中的額外數據。 如果未包含 MiniOptions,則傾印會包含模組、線程和堆棧資訊,但沒有其他數據。 您可以新增下列 任何 MiniOptions 來變更傾印檔案的內容;這些檔案會區分大小寫。
| MiniOption | 效果 |
|---|---|
| a | 建立具有所有選擇性新增功能的小型傾印。 /馬 選項相當於 /mfFhut -- 它會將完整記憶體數據、處理數據、卸除的模組資訊、基本記憶體資訊和線程時間資訊新增至小型傾印。 讀取無法存取記憶體的任何失敗,都會導致小型傾印產生終止。 |
| A | /mA 選項相當於 /馬,不同之處在於它會忽略讀取無法存取記憶體的任何失敗,並繼續產生小型傾印。 |
| f | 將完整記憶體數據新增至迷你傾印。 將包含目標應用程式所擁有的所有可存取認可頁面。 |
| F | 將所有基本記憶體資訊新增至迷你傾印。 這會將數據流新增至包含所有基本記憶體資訊的小型傾印,而不只是有效記憶體的相關信息。 這可讓調試程式在偵錯小型傾印時重新建構進程的完整虛擬記憶體配置。 |
| 小時 | 將與目標應用程式相關聯的句柄相關數據新增至小型傾印。 |
| u | 將卸除的模組資訊新增至小型傾印。 |
| t | 將其他線程資訊新增至迷你傾印。 這包括線程時間,其可在偵錯迷你傾印時使用 !runaway extension 或 .ttime (Display Thread Times) 命令來顯示。 |
| i | 將次要記憶體新增至迷你傾印。 次要記憶體是堆疊或備份存放區指標所參考的任何記憶體,加上此位址周圍的小型區域。 |
| p | 將進程環境區塊 (PEB) 和線程環境區塊 (TEB) 數據新增至小型傾印。 如果您需要存取有關應用程式進程和線程的 Windows 系統資訊,這非常有用。 |
| w | 將所有認可的讀寫私人頁面新增至小型傾印。 |
| d | 將可執行檔映像內的所有讀寫數據區段新增至小型傾印。 |
| c | 在影像中新增程式代碼區段。 |
| r | 從小型傾印刪除堆疊的這些部分,並儲存在重新建立堆棧追蹤時沒有用處的記憶體。 也會刪除局部變數和其他數據類型值。 這個選項不會讓小型傾印更小(因為這些記憶體區段只是以零為零),但如果您想要保護其他應用程式的隱私權,會很有用。 |
| R | 從迷你傾印中刪除完整的模組路徑。 只會包含模組名稱。 如果您想要保護使用者目錄結構的隱私權,這是一個有用的選項。 |
| y | 將AVX緩存器資訊新增至傾印檔案。 |
核心模式選項
下列選項可在核心模式中使用。
/k
僅建立具有核心記憶體的傾印。
/嘉
建立具有作用中核心和使用者模式記憶體的傾印。
其他資訊
如需核心模式傾印檔案的描述及其使用說明,請參閱 內核模式傾印檔案。 如需使用者模式傾印檔案的描述及其使用說明,請參閱 使用者模式傾印檔案。
備註
此指令可用於各種情況:
在即時使用者模式偵錯期間,此命令會指示目標應用程式產生傾印檔案,但目標應用程式不會終止。
在即時內核模式偵錯期間,此命令會指示目標計算機產生傾印檔案,但目標計算機不會當機。
在損毀傾印偵錯期間,此命令會從舊的傾印檔案建立新的損毀傾印檔案。 如果您有大型損毀傾印檔案,而且想要建立較小的傾印檔案,這會很有用。
您可以控制將產生何種類型的傾印檔案:
在核心模式中,若要產生 完整的記憶體轉儲,請使用 /f 選項。 若要產生 小型記憶體轉儲,請使用 /m 選項(或沒有選項)。 .dump 命令無法產生 核心記憶體轉儲。
在使用者模式中,.dump /m[MiniOptions] 是最佳選擇。 雖然 「m」 代表「迷你傾印」,但使用此 MiniOption 所建立的傾印檔案大小可能從非常小到非常大不等。 藉由指定適當的 MiniOptions ,您可以完全控制包含哪些資訊。 例如, .dump /馬 會產生含有大量信息的傾印。 舊版命令 .dump /f 會產生中等大型的「標準傾印」檔案,而且無法自定義。
您無法指定傾印的進程。 所有執行中的進程都會傾印。
/xc、/xr、/xp 和 /xt 選項可用來將例外狀況和內容資訊儲存在傾印檔案中。 這可讓 .ecxr (顯示例外狀況內容記錄) 命令在此傾印檔案上執行。
下列範例會建立使用者模式迷你傾印,其中包含完整記憶體並處理資訊:
0:000> .dump /mfh myfile.dmp
您可以使用 !handle 擴充功能命令來讀取句柄資訊。