Parsować zrzut awaryjny w WinDbg dla prywatnych bajtów (innych niż sterowana sterta)?

Question

Chcę przeanalizować pełny plik dumpu (* .dmp) i uzyskać dane o bajtach prywatnych. Wiem, że VMMap z SysInternals może mi powiedzieć, ile moje prywatne bajty, sterty itp. Są wszystkie, ale to, czego potrzebuję, to, że jeśli mam zrzut, powinienem móc je przeanalizować i uzyskać strukturę Heap (Heap) i dane w sterta. Zrobiłem to już, czytając PEB, a następnie przechodząc przez stosy.

Nie jestem w stanie wymyślić, jak czytać prywatne bajty (inne niż sterty, które mają być danymi procesowymi dla natywnego kodu). Czy ktokolwiek mógłby wskazać mi właściwy kierunek, abym mógł przeanalizować prywatne bajty inne niż sterty ze zrzutu awaryjnego.

Dzięki.

Answer 1

zająć -summary

W pierwszej części można uzyskać zestawienie wykorzystania:

--- Usage Summary ---------------- RgnCount ----------- Total Size -------- %ofBusy %ofTotal 
Free         170   6f958000 ( 1.743 Gb)   87.18% 
<unknown>        477   6998000 (105.594 Mb) 40.21% 5.16% 
Stack         417   5d00000 ( 93.000 Mb) 35.42% 4.54% 
Image         253   3970000 ( 57.438 Mb) 21.87% 2.80% 
Heap          20   600000 ( 6.000 Mb) 2.28% 0.29% 
TEB          93    5d000 (372.000 kb) 0.14% 0.02% 
Other          9    32000 (200.000 kb) 0.07% 0.01% 
PEB          1    1000 ( 4.000 kb) 0.00% 0.00% 

nieznane byłoby wirtualne ALLOCS.

Do listy nieznane obszary pamięci można uruchomić:

zająć -f: VAR

VAR jak określono w debugger.chm - Regiony zajęty!. Regiony te obejmują wszystkie wirtualne bloki alokacji, stertę SBH, pamięć z niestandardowych alokatorów i wszystkie inne regiony przestrzeni adresowej, które nie mieszczą się w żadnej innej klasyfikacji.