确定进程转储是在 x64 还是 x86 计算机上生成

Question

如果我有一个进程转储文件，是否有办法知道转储是在 x64 机器还是 x86 机器上生成的？

Answer 1

不幸的是，上述答案在大多数情况下不起作用。

如果目标进程构建为 x86 二进制文件，Dupmchk.exe 将为 x86 和 x64 操作系统显示“x86 兼容”。对于我们大多数时间使用的小型转储，!peb 命令还为您提供无用的“PEB NULL...”。

您最好检查“Kernel32.dll”的完整路径，因为 x64 操作系统将加载“C:\Windows\Syswow64\Kernel32.dll”，而 x86 操作系统将加载普通的“C:\Windows” \System32\Kernel32.dll”用于 x86 可执行文件。加载的模块及其路径会记录在 minidump 中，并可通过 dumpchk.exe、windbg 和 Visual Studio 轻松检查。

Answer 2

您可以使用 .effmach 命令了解创建转储的体系结构。请注意，在 WOW64 场景中，转储架构是 x64，但实际上您应该使用 x86 方法对其进行调试（请参阅 !wow64exts.sw 命令）。

0:000> .effmach
有效机器：x64（AMD64）

Answer 3

你可以看看环境变量。命令 !peb 的输出除其他外还包含环境变量列表。如果您看到定义了变量 PROCESSOR_ARCHITEW6432 或 ProgramW6432，则操作系统是 64 位。否则，它是 32 位的。

Answer 4

您可以使用 Windows 调试工具附带的 dumpchk.exe 实用程序。只需将转储文件作为参数传递即可。

在生成的报告中，您将获得操作系统版本和 CPU 风格，例如：

Windows 7 版本 7601（Service Pack 1）UP 免费x64

产品：WinNt，套件：SingleUserTS