说明：本文很早就发布在我的博客上了，当时总结的有些问题，本次重新整理完善后再次发布。

有时候我们非常想知道当前系统内核的一些状态，比如查看当前系统加载了哪些驱动，查看某个进程外 COM 调用卡在哪里了，等等。如果我们可以调试系统内核，或者抓取一个系统转储来做事后调试，该多好啊。我们可以通过如下方法得到系统转储：

以上几种方案中，使用 livekd 最方便快捷。如果有哪位小伙伴儿对其它几种方法感兴趣，可以查看之前的转储系列文章。为了能顺利使用 livekd，我们需要解决几个问题。

可以运行 livekd -? 来查看使用方法。

1. 使用 livekd 进行本地内核调试，需要管理员权限，没以管理员权限运行会给出对应的错误提示。

2. livekd 需要内核文件的调试符号的支持。
可以通过环境变量 _NT_SYMBOL_PATH 来告诉 livekd 到哪里加载调试符号。如果没设置也没关系，livekd 会自动下载需要的调试符号到某个位置，遇到下图的情况，输入y即可。

也可以通过命令行参数 -y 来指定符号路径。与使用 _NT_SYMBOL_PATH 效果一样。最好设置环境变量 _NT_SYMBOL_PATH，对所有调试器都有用。

我本地的设置为：_NT_SYMBOL_PATH=SRV*C:\mssymbols\*http://msdl.microsoft.com/download/symbols

3. livekd 需要内核调试器（kd.exe 或 windbg.exe）的支持，可以通过命令行参数 -k 指定 kd.exe 的完整路径。通过 -k 参数指定 kd.exe 的路径的时候，如果有空格，需要用""包起来，否则可能报如下错误：

4. 下载符号文件需要 symsrv.dll 和 dbghelp.dll 的支持，请确保 livekd 可以顺利加载这两个文件。

如果出现上图中的错误，请按照提示加上 -vsym 再次运行，可以查看到更详细的问题。我这里是因为不能加载 symsrv.dll 导致的。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课