LiveKd (微软内核调试器)v5.63

LiveKd是一个微软内核调试软件，对于一些想要在微软的环境之中进行测试的用户来说这个软件还是比较的不错的，可执行在故障转储文件上运行的所有调试器命令，这对于想要进行各种命令的用户应该是蛮方便的，有这个需求的用户可以试试。

功能说明

如果将工具安装到其默认目录 \Program Files\Microsoft\Debugging Tools for Windows，则可以从任何目录中运行 LiveKD；否则，应将 LiveKD 复制到安装了工具的目录中。

如果尚未为运行 LiveKD 的系统安装符号，LiveKD 会询问是否希望系统自动将系统配置为使用 Microsoft 的符号服务器 (请参阅调试工具，以获取有关符号文件和 Microsoft 符号服务器) 的信息Windows文档。

注意： Microsoft 调试器会抱怨它找不到LIVEKDD.SYS符号。 这是预期的，因为我没有为LIVEKDD.SYS提供符号，并且不会影响调试器的行为。

使用说明

使用：

liveKd [-w]|[-k <调试器>]|[-o filename]] [-vsym] [-m[flags] [[-mp process]|[pid]]][调试器选项]

liveKd [-w]|[-k <调试器>]|[-o filename]] -ml [调试器选项]

liveKd [-w]|[-k <调试器>]|[-o filename]] [[-hl]|[-hv <VM 名称> [[-p]|[-hvd]]] [调试器选项]

参数    说明

-hv    指定要调试的 Hyper-V VM 的名称或 GUID。

-hvd    仅包括虚拟机监控程序页面 (Windows 8.1及更高版本) 。

-hvl    列出运行 Hyper-V VM 的名称和 GUID。

-k     指定要执行的调试器映像的完整路径和文件名

-m     创建镜像转储，这是内核内存的一致视图。

只有内核模式内存可用，此选项可能需要大量可用的物理内存。  一个标志掩码，指定要包含的区域（可选） (从下表绘制，默认0x18F8) ：

0001 - 处理专用文件，0002 - 映射文件，

0004 - 共享部分，0008 - 页表页，

0010 - 分页池，0020 - 非分页池，

0040 - 系统 PTE，0080 - 会话页，

0100 - 元数据文件，0200 - AWE 用户页，

0400 - 驱动程序页，0800 - 内核堆栈，

1000 - WS 元数据，2000 - 大页

默认捕获大多数内核内存内容，建议这样做。

此选项可与 -o 一起使用，以更快地保存一致的转储。

镜像转储需要Windows Vista 或 Windows Server 2008 或更高版本。

Sysinternals RamMap 提供了可用于包含的可用内存区域的分布的图形摘要。

-ml     仅使用本机支持 (Windows 8.1及更高版本生成实时转储) 。

-mp     指定一个进程，其用户模式内存内容应包含在镜像转储中。 仅对 -m 选项有效。

-o    将 memory.dmp 保存到磁盘，而不是启动调试器。

-p    在 LiveKd 处于活动状态时暂停目标 Hyper-V VM， (建议与 -o) 一起使用。 指定要调试的 Hyper-V VM 的名称或 GUID。

-hvl    列出运行 Hyper-V VM 的名称和 GUID。

-vsym    显示有关符号加载操作的详细调试信息。

-w     运行 windbg 而不是 kd

所有其他选项将传递到调试器。

注意：如果调试器挂起，请使用Ctrl-Break终止并重启调试器。

默认情况下，LiveKd 运行kd.exe。