错过第一现场后还从dump中分析出线索吗

最新推荐文章于 2022-08-16 16:46:40 发布
最新推荐文章于 2022-08-16 16:46:40 发布
阅读量747 收藏
点赞数

前面介绍了用Windbg截取1st chance exception进行分析的方法。

但是好多情况下,程序并没有运行在调试器下。崩溃发生后留在桌面上的是红色的框框,这时候已经错过了第一现场,但还是有机会找到对应exception的信息。

前面介绍过,红色的框框是通过UnhandledExceptionFilter函数显示出来的,而UnhandledExceptionFilter的参数就包含了异常信息。这个时候检查UnhandledExceptionFilter的参数,就可以找到异常信息和异常上下文的地址,然后通过.exr和.cxr就可以在Windbg中把对应信息打印出来。

(注意:在Vista和Windows 2008中,系统改良了Error Reporting功能。程序崩溃后,系统会在Error Reporting的时候从内核直接挂起出错的进程。这个时候如果用调试器检查,会看到出错进程就停在发生问题的指令上,不再需要在调试器中手动恢复exception context。

详细信息可以参考:

Inside the Windows Vista Kernel: Part 3
http://www.microsoft.com/technet/technetmag
/issues/2007/04/vistakernel/default.aspx?loc=en
拿案例2中的第2个例子做一个实验。直接运行,崩溃后看到弹出的框框。这个时候不要点击确定,而是启动Windbg,attach到这个进程,然后用kb命令打印出call stack,找到UnhandledExceptionFilter的参数: 

0:000> kb
ChildEBP RetAddr  Args to Child              
0012f74c 7c821b74 77e999ea d0000144 00000004 ntdll!KiFastSystemCallRet
0012f750 77e999ea d0000144 00000004 00000000 ntdll!ZwRaiseHardError+0xc
0012f9bc 004339be 0012fa08 7ffdd000 0044c4d8 kernel32!UnhandledExceptionFilter+0x4b4
第一个参数0012fa08保存的就是异常信息和异常上下文的地址: 
0:000> dd 0x0012fa08
0012fa08  0012faf4 0012fb10 0012fa34 7c82eeb2
接下来用.exr加上异常信息地址打印出异常的信息: 
0:000> .exr 0012faf4 
ExceptionAddress: 0041a5a8 (release_crash!main+0x00000028)
ExceptionCode: c0000005 (Access violation)
ExceptionFlags: 00000000
NumberParameters: 2
Parameter[0]: 00000001
Parameter[1]: 00000000
Attempt to write to address 00000000

然后可以用.cxr加上异常上下文地址来切换上下文:

0:000> .cxr 0012fb10 
eax=00000000 ebx=7ffde000 ecx=00000000 edx=00000001 esi=00000000 edi=0012fedc
eip=0041a5a8 esp=0012fddc ebp=0012fedc iopl=0         nv up ei pl nz na po nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00010206

release_crash!main+0x28:
0041a5a8 c60000           mov     byte ptr [eax],0x0      ds:0023:00000000=??

上下文切换完成后,可以用kb命令重新打印出该上下文上的call stack,就可以看到异常发生时候的状态:

0:000> kb
*** Stack trace for last set context - .thread/.cxr resets it
ChildEBP RetAddr  Args to Child              
0012fedc 00427c90 00000001 00361748 003617d0 release_crash!main+0x28 
[c:\documents and settings\lixiong\desktop\amobrowser\release_crash.cpp @ 51]
0012ffc0 77e523cd 00000000 00000000 7ffde000 release_crash!mainCRTStartup+0x170
0012fff0 00000000 00418b18 00000000 78746341 kernel32!BaseProcessStart+0x23

这里可以直接看到问题发生在release_crash.cpp文件的第51行。

Chivalry
关注
dump方式保留程序崩溃现场
linjingtu的博客
05-01 595
背景 软件开发debug里,崩溃转储成为了调试工作的一个重要部分。如果软件在客户现场或者测试实验室发生故障,最有价值的解决方式是能够创建一个故障瞬间的应用程序状态镜像,然后可以在开发者的机器上通过调试器进行分析。这个镜像就是crash dump file。 当然生成dump file的同时,我们也会打印log,将故障现场的log同时生成辅助分析。可以说,如果你不知道你的客户端跑成啥样,只要你远程收集到log和dump file就可以分析解决bug。 Full dump 最早之前crash dump
【C++软件调试技术】使用 Windbg 分析软件异常时的诸多细节与技巧总结
热门推荐
dvlinker的技术专栏
01-11 1万+
使用 Windbg 分析软件异常时的诸多细节与技巧总结。
通过windbg定位错过第一现场的崩溃
勇气凛凛
06-24 663
文章目录说明原因方法最后 说明 所谓的“错误第一现场”,是指当我们的windows程序现崩溃时,会弹一个错误框,这时候如果再使用windbg分析dump是无法快速找到异常点的。 原因 由于windows的KiDispatchException的异常分发机制,如果程序没有设置任何异常包含,最后程序会调用windows的默认异常处理函数—创建一个异常dialog。 这时候程序的异常现场会被默认异常处理给冲刷掉,所以当你使用".ecxr" 命令时是无法找到异常点的。 方法 方法其实也和很简单,就是通过变量所有
Minidump方式保留程序崩溃现场
wqfhenanxc的专栏
06-13 4444
介绍部分转自https://www.cnblogs.com/lisuyun/p/5245609.html 程序部分为原创。   Minidump方式保留程序崩溃现场 在Windows平台下用C++开发应用程序,最不想见到的情况恐怕就是程序崩溃,而要想解决引起问题的bug,最困难的应该就是调试release版本了。因为release版本来就少了很多调试信息,更何况一般都是发布去由用户使用,...
Dump文件介绍与使用
xuezhongjing的专栏
11-27 8378
Dump文件介绍与使用(1)什么是dump文件 从软件开发的角度上,dump文件就是当程序产生异常时,用来记录当时的程序状态信息(例如堆栈的状态),用于程序开发定位问题。(2)如何产生dump文件 网络上介绍了好几种方式: 任务管理器 http://blog.csdn.net/whatday/article/details/47275711(该方法已经验证,简单有效) 修改注册表 ht
程序core dump了要记得保留现场
认知 行动 坚持
04-04 7938
抓到了core, 用gdb xxx core分析, 用bt可以看堆栈信息。 顺利。         用f命令进入帧, 然后可以用i locals命令查看详细信息, 顺利。         但是, 过了一段时间后, 再次用f命令进入帧, 发现用i locas命令看不到信息了, 为什么呢? 因为当时的so文件被替换了。         所以, 要保留core, 要保留so文件(就类似于保留了a
第二章排错的工具 调试器Windbg(下)
qq_43668007的博客
01-11 1012
第二章排错的工具 调试器Windbg(下)
记一次Android概率性定屏问题分析解决路程
IT先森
07-11 3255
记一次Android概率性定屏问题分析解决路程 前言 最经一个同事遇到了概率性定屏的问题,询问我有没有解决过类似的问题,这不得让我想起了前同事解决概率行定屏问题留下来的宝贵文档,下面我就把前同事的文档关键的内容整理奉上,希望对概率性定屏问题有帮助。 一.问题描述 客户的机器在交易过程现定...
Linux kdump Crash故障定位分析详解
悦分享
08-16 1488
kdump是2.6.16之后,内核引入的一种新的内核崩溃现场信息收集工具。当一个内核崩溃后(我们称之为panic),内核会使用kexec(类似于进程的exec,把当前内核换掉)进入到一个干净的备份内核(只使用少量内存,由第一个内核预留放在一块内存),干净的内核启动后,仍旧是用户态服务初始化,这时会使用kdump工具会从内核读需要的信息,再写到磁盘上的一个vmcore的文件。之后就可以使用crash工具来分析vmcore文件了(就像gdb分析用户态崩溃现场core文件一样)。
Windows用户态程序高效排错 目录草稿
eparg的专栏
10-11 3505
Windows用户态程序高效排错思路 技巧 案例 方法前言 80.1 本书介绍什么? 80.2 本书的组织结构 80.3 本书的适合人群 90.4 本书叙述上的特点 90.5 您的反馈和最新动态 10第一部分,比工具,技巧和经验都重要的是你的思考 -- 从四个风格迥异的案例说起 111.0 热身运动 111.1绝望的性能问题, ADO.net 2.0竟然比 1.0要慢! 12问题描述 12悲观
VC++使用pdb和dump恢复“案发现场
学习使我快乐
08-06 5402
目录   pdb文件 PDB文件简介  EXE、DLL等与pdb文件的匹配 编译器产生符号的过程 Release程序生成pdb文件  dump文件 使用背景介绍 dump文件的生成 调试dump文件 VS调试  本地dump调试 无源代码dump调试 WinDbg调试 pdb文件 PDB文件简介 pdb符号文件是连接二进制指令和源代码之间的纽带,没有符号你所面对只...
基于Makefile的数据结构课程学习项目设计源码
09-22
本项目是基于Makefile的数据结构课程学习项目,包含225个文件,其包括43个CMake配置文件、40个Makefile文件、35个TXT文本文件、25个C++源代码文件、16个RSP响应文件、11个Marks文件、8个TypeScript源代码文件、6个XML配置文件和6个JSON配置文件。此外,还有6个Internal文件。该项目旨在帮助学生熟悉数据结构,这是计算机科学专业的基础课程。希望你能更好地理解它,让我们开始吧!
elasticsearch-8.15.1下载
09-22
用途: 用于日志收集和分析的常见工具链。
【高创新】基于斑点鬣狗优化算法SHO-CNN-BiLSTM-Attention的用客流量预测算法研究Matlab实现.rar
09-22
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
小程序&模版&招聘行业&体育圈招聘小程序(源码+截图+源码导入教程和视频).zip
09-22
小程序&模版&招聘行业&体育圈招聘小程序(源码+截图+源码导入教程和视频).zip
基于Java实现一个简单的即时通讯工具的设计与开发毕业设计(源代码+论文)
最新发布
09-22
【作品名称】:基于Java实现一个简单的即时通讯工具的设计与开发【毕业设计】(源代码+论文) 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】:基于Java语言和J2EE规范设计了一个即时通讯工具JICQ (Java for I seek you),并对其体系结构、构成模块及系统关键技术进行了分析与设计。在系统设计与建模过程,使用了UML和面向对象的分析、设计方法,并使用Rose作为建模工具;本系统基于j2se1.5,j2ee1.4,使用Eclipse等作为开发工具,在开发过程用到了时下流行的重构开发方法,优化了系统的设计。力图使系统具有安全、高效、实用、支持在不同系统平台运行等特点。 关键词:即时通讯;多线程;SOCKET编程;JSP 【资源声明】:本资源作为“参考资料”而不是“定制需求”,代码只能作为参考,不能完全复制照搬。需要有一定的基础能够看懂代码,能够自行调试代码并解决报错,能够自行添加功能修改代码。
【高创新】基于淘金优化算法GRO-CNN-BiLSTM-Attention的用客流量预测算法研究Matlab实现.rar
09-22
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
《内存dump分析精粹》第六卷 - 调试与分析指南
通过学习《Memory Dump Analysis Anthology, Volume 6》,读者不仅可以掌握内存dump分析的基本技能,还能提升在软件调试和问题解决方面的专业素养,对于从事系统维护、软件开发或者故障排查工作的人员来说,是一本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值