5 个版本 (重大变更)
| 新增 0.5.0 | 2024 年 8 月 13 日 |
|---|---|
| 0.4.0 | 2024 年 6 月 22 日 |
| 0.3.0 | 2024 年 6 月 12 日 |
| 0.2.0 | 2024 年 3 月 29 日 |
| 0.1.1 | 2024 年 3 月 21 日 |
#502 在 解析器实现
97KB
1.5K SLoC
kdmp-parser
一个简洁的 Rust 库,用于解析由 Windows 及其调试器创建的 Windows 内核崩溃转储。
这是一个跨平台的库,可以解析 Windows 生成的 内核 崩溃转储。它提供了对物理内存页以及寄存器和异常上下文的只读访问。它还可以通过遍历 页表 来读取虚拟内存地址。
编译的二进制文件可在 发行版 部分找到。
解析器
parser 应用程序是一个小型实用程序,用于展示如何使用库并演示其功能。您可以使用它来转储内存等。
以下是支持的选项
A KISS Rust crate to parse Windows kernel crash-dumps created by Windows & its debugger.
Usage: parser.exe [OPTIONS] <DUMP_PATH>
Arguments:
<DUMP_PATH>
The dump path
Options:
--dump-headers
Dump the dump headers
-c, --context-record
Dump the context record
-e, --exception-record
Dump the exception record
-m, --mem[=<MEM>]
Dump the first `len` bytes of every physical pages, unless an address is specified
--virt
The address specified is interpreted as a virtual address, not a physical address
--len <LEN>
The number of bytes to dump out
[default: 16]
-r, --reader <READER>
Reader mode
[default: mmap]
Possible values:
- mmap: The crash-dump is memory-mapped
- file: The crash-dump is read as a file on disk
--modules
Dump the list of kernel & user modules
-h, --help
Print help (see a summary with '-h')
-V, --version
Print version
作者
- Axel '@0vercl0k' Souchet
贡献者
依赖项
~0.4–0.8MB
~20K SLoC