#windows #debugging #windbg
#Windows #отладка #windbg
Вопрос:
У меня есть аварийные дампы WOW64 с информацией о стеке вызовов, например:
0018fb00 77c06a8b 0018fbc8 0018ffc4 0018fc18 ntdll_77bc0000!ExecuteHandler2 0x26
или как:
0018fb00 77c06a8b 0018fbc8 0018ffc4 0018fc18 ntdll_772d0000!ExecuteHandler2 0x26
Похоже, что ntdll_772d0000 является именем dll, но я не видел его в C:WindowsSysWOW64 , и мне также любопытно, почему на одном компьютере могут быть разные имена, такие как ntdll_77bc0000 и ntdll_772d0000.
Спасибо.
Ответ №1:
это несколько копий ntdll, загруженных по альтернативным (в отличие от предпочтительных) базовым адресам.
Комментарии:
1. Я не видел этих библиотек dll в своей системе, вы имеете в виду, что все это временные библиотеки dll, созданные во время выполнения для определенного процесса? Есть ли какие-либо материалы, на которые я могу сослаться?
2. Это одна библиотека dll, загруженная несколько раз в ваш процесс (ы). Странно то, что это ntdll. Можете ли вы опубликовать больше стека? Кроме того, запустите list modules (lm), чтобы узнать, сколько у вас копий, и, возможно, определить различия между ними (посмотрите информацию о версии и т. Д.)