DbgView 是一个免费的用于抓取log 的工具,可以捕获并输出OutputDebugString()函数的输出,以及输出windows driver 中dbgprint 的log,对于windows driver 开发和调试是十分有帮助的。
但是该tool 已经很久不再更新了,最新的版本是V4.81 版本,是久远的2012年12月份release 出来的,具体下载链接为:
https://technet.microsoft.com/en-us/sysinternals/debugview.aspx?f=255&MSPPError=-2147217396
目前Dbgview.exe 使用在Windows 10 下,会有一个小问题:
开启“capture kernel” 后运行一次dbgview后关闭该AP,并再次打开时通常会无法再“capture kernel”。提示的error 如下图:
这样会导致DbgView 无法"Capture Kernel",除非重新启动PC。这样非常不方便。
在研究DbgView与“Dbgv.sys” 时发现有几个要点:
1. Dbgview.exe 在启动时,会在该exe中找到对应的resource,然后将这部分生成一个“Dbgv.sys”放在系统目录下,然后启动该sys。
2. 启动成功后就会去delete 该“Dbgv.sys”文件。所以正常在win7 等系统中是无法看到“Dbgv.sys”这个文件的。
3. 当第二次运行dbgview 时,同样会提取出“Dbgv.sys”,并重写之前的文件(如果文件存在的话)。
4. 但是在win 10 中在步骤2总delete 这个文件时会失败;而且在步骤3中进行重写时也是失败的。猜测Windows 10 是禁止重写已经运行了的sys文件。
5. 在overwrite 失败后,dbgview 认为不能正确运行“Dbgv.sys”,所以弹出上文的error message。
6. DbgView 在运行“Dbgv.sys” 时是创建并start 一个service “DBGVSVC”,但是比较奇怪的是在系统中并没发现该service。
根据上述的分析,产生一些策略去尝试避免文中所说的问题:
1. 在再次打开DbgView 前,尝试找到“DBGVSVC” service,并stop service 后再运行DbgView,但是没能找到“DBGVSVC” Service,该策略未生效;
2. 在再次打开DbgView 前,尝试去删除“Dbgv.sys” 文件,然后再运行DbgView,但是该文件未能找到有效的方法成功删除,该策略未生效;
3. 偶然发现“Dbgv.sys” 竟然可以重命名,重命名该文件后再运行DbgView 就OK了。但是该方法的缺陷是需要重启后删除重命名后的文件,否则该文件会一直存在。这个方法对于不想使用我修改后的dbgview 的用户来说,非常友善。
4. 反编译DbgView 后,将dbgview 中重写“Dbgv.sys” 失败后的代码改写,就可以在windows 10 中继续像在以前OS 中开心的玩耍了。修改后的FakeDbgView.exe 可以在https://pan.baidu.com/s/1o8TbqjC 下载。该版本是基于V4.81 版本 版本进行修改。