Скажите есть-ли способ продизасмеблировать полный дамп памяти полученный в результате BSOD. Можно ли загнать его в IDA?
katrus Загрузи дамп в WinDbg, а дальше делай что хочешь - хоть дизассемблируй, хоть анализируй (!analyze -v) Если тебе нужно вытащить отдельно образы файлов, загруженных в момент бсода, то я описывал формат dmp, и будет несложно написать тулзу, которая будет вынимать нужные образы и скидывать в отдельные файлики.
Мне хотелось бы иметь возможность анализировать отдельные модули в IDA. В windbg это несколько муторно... То есть можно написать конвертор dmp - sys?
Дамп это всеголишь лимитированый кусок кода( который выполнялся перед крахом ) из памяти сброшеный на диск, так что его нельзя переконвертировать в sys
2FED У тебя неверное представление о дампе.. minidump не содержит кода. kernel memory dump содержит код ядра и драйверов, находящихся в ОЗУ в момент краха. full memory dump содержит все содержимое ОЗУ в момент краха. соотв. из kernel memory dump / full memory dump можно выделить код, относящийся к драйверу и скинуть проблемный драйвер в отдельный файл. Другое дело - зачем это надо?
Вопрос такойже, делаю дамп userdumpом, пробую скормить IDA 5.2 - не видит. Есть ли ещё какието средства для анализа?
он умеет... но пока вытащишь то что нужно просто офигеешь и изведёшь кучу страниц скрэч пада, хотел найти чтото наглядно-быстрое для анализа состояние софтины, вроде как IDA должна уметь (даже вкралась кромольная мысль о ПОКУПКЕ ida 5.4, что то задачи всё чаще и чаще попадаются такие) но что то не сложилось
