WinDBG调试Dump文件

最新推荐文章于 2022-10-18 17:41:19 发布
最新推荐文章于 2022-10-18 17:41:19 发布
阅读量1k 收藏
点赞数
分类专栏: WinDBG 文章标签: exception debugging c command crash 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Diomedes/article/details/7102541
版权

初学winDBG,一点笔记。各路大侠请笑过。

这个dump文件是某童鞋蓝屏时dump出来的,简单看了下,可能是由于启动了硬件加速导致的。

错误代码:KERNEL_MODE_EXCEPTION_NOT_HANDLED_M,错误函数:RtlUnicodeToCustomCPN+2f

利用WinDBG分析系统崩溃时的dump文件,参考链接:http://bbs.pediy.com/showthread.php?threadid=35044

*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************
// 指明错误
KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)


// 解释出错原因
This is a very common bugcheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003.  This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG.  This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG.  This will let us see why this breakpoint is
happening.


// 参数信息,第二列是代号,第三列是解释。
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: 846245c9, The address that the exception occurred at
Arg3: a49a7c08, Trap Frame
Arg4: 00000000


// 错误详细
Debugging Details:
------------------
// 参数1  [Arg1]
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - "0x%08lx"
// 指出发生错误时所执行的指令
FAULTING_IP: 
nt!RtlUnicodeToCustomCPN+2f
846245c9 8b4b04          mov     ecx,dword ptr [ebx+4]
//错误时各寄存器的内容
TRAP_FRAME:  a49a7c08 -- (.trap 0xffffffffa49a7c08)
ErrCode = 00000000
eax=8924639c ebx=ffffffff ecx=8924639c edx=00000000 esi=89246380 edi=8924639c
eip=846245c9 esp=a49a7c7c ebp=a49a7cb8 iopl=0         nv up ei ng nz ac pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010296
nt!RtlUnicodeToCustomCPN+0x2f:
846245c9 8b4b04          mov     ecx,dword ptr [ebx+4] ds:0023:00000003=????????
Resetting default scope


CUSTOMER_CRASH_COUNT:  1


DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT


BUGCHECK_STR:  0x8E


PROCESS_NAME:  .exe


CURRENT_IRQL:  0


LAST_CONTROL_TRANSFER:  from 8468ccfa to 846245c9
// 反映了错误前堆栈中函数调用情况
STACK_TEXT:  
a49a7cb8 8468ccfa a276ebf8 00000400 a49a7cf4 nt!RtlUnicodeToCustomCPN+0x2f
a49a7d14 8447a21a 00000010 00000000 00000000 nt!NtWaitLowEventPair+0x46
a49a7d34 77ce70b4 badb0d00 02d8ff60 00000000 nt!KiEm87StateToNpxFrame+0xce
WARNING: Frame IP not in any known module. Following frames may be wrong.
a49a7d38 badb0d00 02d8ff60 00000000 00000000 0x77ce70b4
a49a7d3c 02d8ff60 00000000 00000000 00000000 0xbadb0d00
a49a7d40 00000000 00000000 00000000 00000000 0x2d8ff60




STACK_COMMAND:  kb


// 反汇编了发生错误指令的代码
FOLLOWUP_IP: 
nt!RtlUnicodeToCustomCPN+2f
846245c9 8b4b04          mov     ecx,dword ptr [ebx+4]


SYMBOL_STACK_INDEX:  0


SYMBOL_NAME:  nt!RtlUnicodeToCustomCPN+2f


FOLLOWUP_NAME:  MachineOwner


MODULE_NAME: nt


IMAGE_NAME:  ntkrnlpa.exe


DEBUG_FLR_IMAGE_TIMESTAMP:  4ea76eb4


FAILURE_BUCKET_ID:  0x8E_nt!RtlUnicodeToCustomCPN+2f


BUCKET_ID:  0x8E_nt!RtlUnicodeToCustomCPN+2f


Followup: MachineOwner
---------
Diomedes
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 3545
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
WinDbg调试工具,dump文件分析工具
07-07
微软调试器组件,可以用来查看分析蓝屏dump文件
WinDbg手动修复堆栈
Sven的忘却日记
09-29 2467
栈被破坏了可一点都不好玩儿!尤其是当你在分析crash dump或者程序发生异常的时候,我猜首先要做的事,可能就是先查看一下儿堆栈调用。 但是发现当前线程的栈被破坏了,你的主要分析工具也无法显示堆栈,这可咋办哩? 尽管如此,有时候也可以修复被破坏的堆栈。我已经出了一些关于.NET和C++调试的教程,但是大家的要求,我也会再展示一个例子 .net 调试:http://sela.co.il/syl/s...
dump 分析模式之 INCORRECT STACK TRACE
djm2005dy的专栏
02-13 4627
 ezplayer 00. 01. 02. ... 存档随机文章 订阅 私信 投稿 Dump 分析模式之 INCORRECT STACK TRACE dump 分析模式之 INCORRECT STACK TRACE 翻译自 MDA-Anthology Page
win7x64新进程画面均无显示一例分析——从内核态到用户态,从x64到wow64,从汇编到托管
u010607621的博客
10-18 649
新进程无画面是因为0号线程被mutex(DictManager_GlobalLocker)卡住。 输入法SOGOUPY用到的mutex(DictManager_GlobalLocker)无法释放是新进程卡住的直接原因。 无法释放是因为本该由进程Imclient里线程fffffa80c895c950释放,但是它也被CriticalSection=7b0138卡住无法释放。 cs=7b0138本该由Imclient里线程574来释放,但是它出了异常,异常代码的执行中也进入Wait了。
dll反复加载卸载过程中遇见的诡异问题
weixin_30725315的博客
04-12 705
这两天遇见了个诡异的问题,扩展进程反复的加载和卸载一个插件的dll的时候,扩展会在启动的时候崩溃。   通过windbg查看崩溃栈: 0:024> kbChildEBP RetAddr Args to Child WARNING: Frame IP not in any known module. Following frames may be wrong.02c6f7d4 ...
R3与R0联调
kernweak的博客
05-23 674
如果没有联调,当看栈时候 WARNING: Frame IP not in any known module. Following frames may be wrong. 看不见操作步骤是 使用!process 0 0 获取用户空间的进程的信息 .process /p 87373550 切换到要调试的应用程序的Eprocess地址 重新加载user程序的 PDB文件 (需在Windbg...
Exception的处理过程(Windbg调试器加载,AeDebug的JIT调试)
weixin_30945039的博客
07-07 656
1.如果有调试器加载,系统会通知调试器(first chance) 2.如果没有调试期加载,或者调试器没有处理exception,系统尝试寻找异常处理程序(catch...) 3.如果没有找到异常处理程序,UnhandledExceptionFilter会尝试第二次通知调试器(second chance) 4.如果调试器不存在,且调用SetUnhandledException...
调试驱动程序的入口
weixin_34309543的博客
01-26 1410
调试驱动程序的入口(1) 这是老生常谈的一个问题,先说一个一般性的方法。 将内核调试器设置成启动时断点(快捷键Ctrl+Alt+K),调试器提示: Will breakin on first symbol load at next boot. 这句话意味着 The debugger breaks into a restarted target computer ...
signature=d6661ffc104d47cc8a8c4281f77bbffc,调试驱动程序的入口
weixin_35137190的博客
05-29 1081
IopLoadDriverMmLoadSystemImageDbgLoadImageSymbolsDriverEntry==============================================================================================调试驱动程序的入口 (2) 强大的条件断点调试驱动程序的入口(1) 文中的方法大多数情况下是...
windbg 使用
代号9527
07-27 1749
使用WinDbg内核调试看雪学院,笨笨雄译安装程序基础挑选技术取得更多信息WINDOWS调试工具很强大,但是学习使用它们并不容易。特别对于驱动开发者使用的WinDbg和KD这两个内核调试器(CDB和NTSD是用户态调试器)。本教程的目标是给予一个已经有其他调试工具使用经验的开发者足够信息,使其能通过参考WINDOWS调试工具的帮助文件进行内核调试。本文将假定开发者熟悉一般WINDOWS操作系统和进
windbg调试工具.zip
01-08
windbg调试工具,用于分析dump文件,查看异常堆栈,很好用的c++开发人员辅助工具。
Windbg分析dump及Linux调试程序使用方案
10-23
windows windgb 与 linux gdb 、linux valgrind 的使用案例,pdf 手册 Windbg分析dump调试程序的使用例子
qt vs编译器下生成dump文件,方便调试
06-28
qt vs编译器下生成dump文件,方便调试
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8702
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3097
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1444
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2152
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
windbg调试dump文件
最新发布
07-25
要使用Windbg调试dump文件,你可以按照以下步骤进行操作: 1. 首先,确保你已经安装了Windows SDK,其中包含了Windbg调试工具。如果没有安装,你可以从微软官网下载并安装。 2. 打开Windbg调试工具。你可以在开始...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值