crash处理core文件

最新推荐文章于 2021-09-28 12:39:05 发布
最新推荐文章于 2021-09-28 12:39:05 发布
阅读量818 收藏
点赞数
(一时心血来潮总结的,供大家参考,时间仓促,不足之处勿拍砖,欢迎讨论~)
Crash工具用于解析Vmcore文件,Vmcore文件为通过kdump等手段收集的操作系统core dump信息,在不采用压缩的情况下,其相当于整个物理内存的镜像,所以其中包括了最全面、最完整的信息,对于分析定位各种疑难问题有极大的帮助。配置kdump后,在内核panic后,会自动进入kump流程,搜集Vmcore。
Crash工具即为专门用于分析vmcore文件的工具,其中提供了大量的实用分析命令,极大的提高了vmcore的分析效率。
在分析vmcore的过程中,常常需要解析内核某个流程中的关键变量的值,以便确认故障当时系统的状态,本文主要介绍变量的解析方法,主要分全局变量和局部变量两种情况。
1、全局变量解析非常简单,可通过在crash中直接p <变量名>打印,如:
  1.     jiffies = $3 = 5540265294
复制代码
2、局部变量的解析比较复杂。
Vmcore搜集的仅为故障当时内存使用情况的一个快照,是静态信息,无法进行动态调试(虽然听说可以,但没见过~~),对于某个进程而言,在Vmcore中能发掘的进程上下文信息,通常只有堆栈和寄存器的值。而我们了解,通常局部变量在栈中分配,但也可能直接使用寄存器保存,所以可以(也只能)通过“寻找局部变量跟堆栈或寄存器的关系”来解析局部变量的值。所以这里分两种情况:
1)位于栈中的局部变量
这种情况比较常见,此时,局部变量必然位于某一级函数的堆栈中,该局部变量可能通过指针一级级向底层函数传递,所以可能位于多个函数的堆栈中,可以从不同的函数堆栈中解析。但解析会比较困难,难点在于难以确认相关变量在堆栈中的具体位置,解析方法很灵活,需要结合相关源代码,仔细分析流程,找到关键的点,更多的取决于分析者的经验和代码理解能力。
如下以实例说明解析过程:
vmcore中某阻塞的进程有如下的堆栈:
  1.     PID: 9242 TASK: ffff8805f3a21540 CPU: 4 COMMAND: "xxx"
  2.      #1 [ffff8805f3a234f0] schedule_timeout at ffffffff814f9a6d
  3.      #3 [ffff8805f3a235f0] down at ffffffff81097c11
  4.      #5 [ffff8805f3a23650] _xfs_buf_find at ffffffffa05235f2 [xfs]
  5.      #7 [ffff8805f3a23700] xfs_buf_read at ffffffffa0523e4c [xfs]
  6.      #9 [ffff8805f3a23780] xfs_read_agf at ffffffffa04cfd26 [xfs]
  7.     #11 [ffff8805f3a237f0] xfs_alloc_fix_freelist at ffffffffa04d28a1 [xfs]
  8. void
  9.         xfs_buf_t        *bp)
  10.         trace_xfs_buf_lock(bp, _RET_IP_);
  11.         if (atomic_read(&bp->b_io_remaining))
  12.         down(&bp->b_sema);

  14.     }
复制代码
该变量是通过入参从上级函数传入的,而跟踪上级函数会发现其为在上级函数_xfs_buf_find中分配的局部变量,解析方法有两种:

A、在上级函数中通过该变量与堆栈的关系解析
bp变量是在上级函数_xfs_buf_find定义局部变量,那么其通常会在该级栈中分配空间。但难点还在于如何确认该变量在堆栈中的位置,关键在于找到“寄存器和堆栈关联”的地方,还得分析关键代码流程:
  1.         xfs_buftarg_t        *btp,    /* block device target        */
  2.         size_t            isize,    /* length of range        */
  3.         xfs_buf_t        *new_bp)
  4.         xfs_off_t        range_base;
  5.         xfs_bufhash_t        *hash;

  7.         range_length = (isize << BBSHIFT);
  8.     found:

  10.          * if this does not work then we need to drop the
  11.          */
  12.             if (!(flags & XBF_TRYLOCK)) {
  13.                 xfs_buf_lock(bp);
  14.     ...
  15. crash> dis -l _xfs_buf_find
  16.     0xffffffffa05234f0 <_xfs_buf_find>: push %rbp
  17.     0xffffffffa05234f4 <_xfs_buf_find+4>: push %r15
  18.     ...
  19.     0xffffffffa05235e9 <_xfs_buf_find+249>: mov %rcx,-0x58(%rbp) //可以看出rbp偏移0x58即为入参bp的值
  20.     ...
复制代码
找到调用xfs_buf_lock函数的地方,在此之前准备入参,操作了堆栈-0x58(%rbp) ,可以看出rbp偏移0x58即为入参bp的值
再看看堆栈中-0x58(%rbp)中的内容具体是啥:
  1.     PID: 9242 TASK: ffff8805f3a21540 CPU: 4 COMMAND: "xxx"
  2.         ffff8805f3a23430: 0000000000000082 ffff8805f3a234a8
  3.         ffff8805f3a23450: 00051200f3a21b00 ffff880c20518300
  4.         ffff8805f3a23470: ffff8805f3a23fd8 000000000000f4e8
  5.         ffff8805f3a23490: ffff8805f3a21540 ffff8805f3a234d8
  6.         ffff8805f3a234b0: 0000000000000246 ffff8805f3a234d8
  7.         ffff8805f3a234d0: ffff8805f3a235a8 7fffffffffffffff
  8.         ffff8805f3a234f0: ffffffff814f9a6d
  9.      #5 [ffff8805f3a23650] _xfs_buf_find at ffffffffa05235f2 [xfs]
  10.         ffff8805f3a23668: 0001400500000000 ffff8805f563e690
  11.         ffff8805f3a23688: ffff8805f3a21af8 ffff8808fe07c0c0
  12.         ffff8805f3a236a8: 0000000000000001 ffff8805f563e0c0
复制代码
我们知道:
(1)栈的地址是向低地址延伸的,也就是说压栈时,sp(栈顶地址)减小。
(2)第一个压栈的上级函数的返回地址,所以其中的ffffffffa05237db为上级函数的返回地址(从上述堆栈中可以明显看出~)
在_xfs_buf_find()函数反汇编的第一句,就对rbp(即上级堆栈栈帧指针)进行了压栈,所以 ffff8805f3a236f8为rbp。
0xffffffffa05234f0 <_xfs_buf_find>: push %rbp
此时的rsp应该就是ffff8805f3a236b8:接下来:
0xffffffffa05234f1 <_xfs_buf_find+1>: mov %rsp,%rbp
那么此时的rbp也就等于ffff8805f3a236b8,那么rbp-0x58就是ffff8802ecd78480即为我们苦苦寻找的bp指针了!!
通过如下命令验证下该bp指针的内容,其类型为xfs_buf_t结构体:
  1.     struct xfs_buf_t {
  2.         rb_parent_color = 18446612143895321536,
  3.         rb_left = 0x0
  4.       b_file_offset = 500099736064,
  5.       b_hold = {
  6.       },
  7.         counter = 3
  8.       b_flags = 3145844,
  9.         lock = {
  10.             slock = 151718155
  11.         },
  12.         wait_list = {
  13.           prev = 0xffff8805f3a235a8
  14.       },
复制代码
内容输出正常,应说明解析是正确的。
从该结构体内容可以看出,该xfs_lock被其它进程占用了,且等待队列中有进程正在等待该锁,进一步分析wait_list可以得到每个等待进行的相关信息,这里不再赘述具体方法。

B、在本级或下级函数中通过该变量与堆栈的关系解析
解析关键在于:需要找到引用该变量的关键点,比如这里的down(&bp->b_sema)函数,以bp变量所为入参,那么就必然会对该变量进行操作,比如通过寄存器传参到down函数中,在此可以寻找到蛛丝马迹。
首先,需要对xfs_buf_lock函数进行反汇编:
  1.     /usr/src/debug/kernel-2.6.32-220.el6/linux-2.6.32-220.el6.x86_64/fs/xfs/linux-2.6/xfs_buf.c: 933
  2.     0xffffffffa05233e1 : mov %rsp,%rbp
  3.     0xffffffffa05233e8 : mov %rbx,-0x18(%rbp)
  4.     0xffffffffa05233f0 : mov %r13,-0x8(%rbp)
  5. ...
  6.     0xffffffffa052342a : lea 0x38(%rbx),%rdi
  7.     /usr/src/debug/kernel-2.6.32-220.el6/linux-2.6.32-220.el6.x86_64/fs/xfs/linux-2.6/xfs_trace.h: 325
  8.     /usr/src/debug/kernel-2.6.32-220.el6/linux-2.6.32-220.el6.x86_64/fs/xfs/linux-2.6/xfs_buf.c: 943
  9. crash> dis -l down
  10.     0xffffffff81097bd0 : push %rbp
  11.     0xffffffff81097bd4 : push %rbx
  12.     0xffffffff81097bd9 : nopl 0x0(%rax,%rax,1)
  13.     ...
复制代码
可以看出,其中第5行对rbx寄存器进行压栈,bingo!,这正是我们要寻找的,由此说明bp指针的值,必然可以在down()这一级函数的栈中找到。
解析堆栈:
  1.     PID: 9242 TASK: ffff8805f3a21540 CPU: 4 COMMAND: "_0605_KLINUX_DF"
  2.         ffff8805f3a23430: 0000000000000082 ffff8805f3a234a8
  3.         ffff8805f3a23450: 00051200f3a21b00 ffff880c20518300
  4.         ffff8805f3a23470: ffff8805f3a23fd8 000000000000f4e8
  5.         ffff8805f3a23490: ffff8805f3a21540 ffff8805f3a234d8
  6.         ffff8805f3a234b0: 0000000000000246 ffff8805f3a234d8
  7.         ffff8805f3a234d0: ffff8805f3a235a8 7fffffffffffffff
  8.         ffff8805f3a234f0: ffffffff814f9a6d
  9.      #3 [ffff8805f3a235f0] down at ffffffff81097c11
  10.         ffff8805f3a23608: ffff8802ecd78480 ffff8802ecd78480
  11.      #4 [ffff8805f3a23620] xfs_buf_lock at ffffffffa0523433 [xfs]
  12.         ffff8805f3a23638: ffff8808fe07c0c0 ffff8802ecd78490
  13. 0xffffffff81097bd0 : push %rbp
  14. 0xffffffff81097bd4 : push %rbx
复制代码
显然,接下来压栈的是rbp,即ffff8805f3a23648是rbp,即上一级堆栈的栈帧指针。
第3句,即对rbx压栈,说明rbx(即我们要找的bp指针的值)就位于down()函数堆栈中的第3个位置(第1为上级函数返回地址、第2为rbp),即:
ffff8802ecd78480
所以,我们找到了。。。。

2)位于寄存器中的局部变量
由于Vmcore只是一个内存快照的静态数据,所以其中保存的进程上下文中,只保存了最后一级函数执行时的寄存器内容,所以,如果相关局部变量位于最后一级函数中,且用寄存器保存,那么此时可以直接通过相关进程的bt上下文得到:
  1.     PID: 9242 TASK: ffff8805f3a21540 CPU: 4 COMMAND: "_0605_KLINUX_DF"
  2.      #1 [ffff8805f3a234f0] schedule_timeout at ffffffff814f9a6d
  3.      #3 [ffff8805f3a235f0] down at ffffffff81097c11
  4.      #5 [ffff8805f3a23650] _xfs_buf_find at ffffffffa05235f2 [xfs]
  5.     ..
  6.         RIP: 0000003885e0ed2d RSP: 00007f43871e36e0 RFLAGS: 00003297
  7.         RDX: 0000000000000241 RSI: 0000000000000241 RDI: 00007f43871e3710
  8.         R10: 0000000000000000 R11: 0000000000003293 R12: ffffffff8117a830
  9.         ORIG_RAX: 0000000000000002 CS: 0033 SS: 002b
复制代码
但是,如果需要解析的局部变量位于中间流程,且使用寄存器保存,且不能在最后一级函数执行时的进程上下文中体现,那么此类局部变量就无法解析了。
lHz76ttw1U
关注
java crash 日志分析_Java JVM Crash 日志文件分析
weixin_31526891的博客
03-04 954
Java的应用有时候会因为各种原因Crash,这时候会产生一个类似java_errorpid.log的错误日志。可以拿到了这个日志,怎样分析Crash的原因呢?下面我们来详细讨论如何分析java_errorpid.log的错误日志。一. 如何得到这个日志文件如果有一个严重的错误引起Java进程非正常退出,我们叫Crash,这时候会产生一个日志文件。缺省情况下,这个文件会产生在工作目录下。但是,可以...
crash怎么分析kdump core文件
最新发布
C/C++Linux、音视频、DPDK
04-28 1213
kdump是Linux内核的一种机制,可以在出现系统崩溃时自动生成一个内存转储文件(core file),也称为crash dump。这个core文件包含了系统当时的内存状态和各个进程的调用栈信息,可以帮助分析和定位崩溃的原因。其中/path/to/core是kdump core文件的路径。要分析kdump core文件,需要先安装crash工具,这是一个专门用于分析Linux内核转储文件的工具。使用以上命令可以帮助定位崩溃的原因。如果需要退出crash工具,可以使用quit命令。
erlang的crash_core_dump解读
iteye_5099的博客
04-09 272
正常情况下 当erlang进程发生错误没有catch的时候 emulator就会自动产生erl_crash.dump,来提供crash的时候的emulator最详细的情况,类似于unix的core dump. 其中下边几个env变量控制dump产生的行为: ERL_CRASH_DUMP If the emulator needs to write a crash dump, the value ...
linux 查看 core文件
wxliu1989的专栏
03-20 1051
core文件是程序在运行中崩溃生成的信息,实质是程序内存映像(包括一些调试信息) 通过ulimit命令可以查看系统允许生成 core文件的大小 ,ulimit -a 查看其中的core file 默认是0,这时程序崩溃是不会产生core文件的,只会报段错误等内存错误信息 可以通过 ulimit -c  1024 来修改core文件的大小,修改后就可以生成core文件了。 int main()
crash 工具源码
04-06
crash工具是Linux内核调试的重要工具,它允许开发者在内核崩溃时获取内存转储(core dump)并进行深入分析。本文将围绕"crash工具源码"这一主题,详细阐述其在arm 32位平台上的构建过程及应用,旨在帮助读者理解其...
Crash日志分析
03-20
4. 了解并学会使用CoreFoundation和Objective-C的运行时函数,因为很多Crash与它们有关。 总的来说,Crash日志分析是iOS开发中的重要环节,通过对Crash日志的深入理解和有效利用工具,开发者能够快速定位和修复问题...
window COREdump文件生成 c++代码
09-23
- 上述代码会在程序遇到未处理异常时生成名为"crash.dmp"的Coredump文件。 4. **分析Coredump** - 使用调试工具,如Visual Studio的调试器或第三方工具WinDbg,加载Coredump文件进行分析。 - 分析堆栈信息,查看...
用MySQL开启core文件.pdf
10-10
总的来说,当MySQL发生crash时,开启和分析core文件是诊断问题的关键步骤。通过熟练掌握这一过程,数据库管理员可以更有效地定位和修复错误,从而确保MySQL服务的稳定运行。在实践中,定期备份、监控系统性能以及对...
XFS硬件错误对照表
05-24
用于硬件设备报错时查看SP报错信息,及时发现具体错误并解决
crash调试内核入门-老司机带你上车
py199122的博客
09-28 7791
一:crash简介 crash工具是由Redhat工程师开发,是调试linux kernel问题的神器。linux的发行版基本都包含kdump服务,该服务可以在kernel panic时切换到转存kernel,收集异常时内存的数据,生成vmcore文件crash工具加上符号表可以分析该vmcore文件,分析kernel panic的原因。 二:基于centos7.6搭建crash分析环境 使用crash我们需要安装centos的debug-kernel。 1:查看我们的系统内核版本 2.
使用 Crash 工具分析 Linux dump 文件
技术风向标
04-05 2340
前言 Linux 内核(以下简称内核)是一个不与特定进程相关的功能集合,内核的代码很难轻易的在调试器中执行和跟踪。开发者认为,内核如果发生了错误,就不应该继续运行。因此内核发生错误时,它的行为通常被设定为系统崩溃,机器重启。基于动态存储器的电气特性,机器重启后,上次错误发生时的现场会遭到破坏,这使得查找内核的错误变得异常困难。 内核社区和一些商业公司为此开发了很多种调试技术和工具,希望...
虚拟机无故关机或崩溃的日志搜集
Pespi_Co1a的博客
07-06 4357
简而言之:1.挂起崩溃的虚机;2.收集此时vmss和vmem文件。3.上传或转储vmss文件。方可容易定位原因所在 1.第一时间不要重启虚机,先挂起虚拟机,然后在存储找到vmss或vmsd内存文件--这对收集vmkernel或状态等有作用 https://kb.vmware.com/s/article/2005831【在ESX / ESXi上挂起虚拟机以收集诊断信息】 2.利用vmss2core将vmss文件转储,以便厂家或其他用户分析当时故障情况 https://kb.vmware.com..
linux文件系统-文件的写与读
guoguangwu的专栏
09-21 2896
只有打开可文件以后,或者建立起进程与文件之间的连接之后,才能对文件进行读写。文件的读写主要是通过系统调用read和write来完成的,对于读写的进程,目标文件由一个打开文件号代表。 为了提高效率,稍微复杂一点的操作系统对文件的读写都是带缓冲的,linux也不例外。像vfs一样,linux文件系统的缓冲机制也是它的一大特色。所谓缓冲,是指系统为最近的读写过的文件内容在内核中保留一份副本,以便当再次需要已经缓冲存储在副本的内容时不必再临时从设备上读入,而需要写的时候则可以先写到副本中,待系统较为空闲时再从副本
制造内核崩溃并使用crash分析内核崩溃产生的vmcore文件
weixin_34138139的博客
05-03 873
制造内核崩溃并使用crash分析内核崩溃产生的vmcore文件 1,安装kernel-debuginfo$(uname -r).rpm和kernel-debuginfo-common-$(uname -r).rpm 2,开启内核崩溃转储service kdump start3,开启Magic System Request Key功能echo 1 >/proc/sys/kernel/sys...
2、崩溃文件Crash Dump Core FIles)
qq_34446716的博客
03-30 2122
默认情况下所有的操作系统都会在操作系统状态发生变化,或者说发生了异常时,会生成系统级别的崩溃日志,对应的JVM也创造了类似的机制。一般情况下,JVM会创造两种类型的崩溃文件,即文本形式的、二进制形式的。文本形式的叫Dump文件,二进制形式的叫Mdmp(Windows)或Core(Linux)文件。两种文件文件名一般都是.dump之类的,Pid就是我们的应用程序的进程号。 文本形式的Dump文件包...
crash使用方法
yuxinghai2008的专栏
07-01 7027
1.Crash 调试vmcore: # pwd /var/crash/127.0.0.1-2014-06-23-12:37:00 # crash /usr/lib/debug/lib/module/`uname -r`/vmlinux vmcore crash> bt /* 打印函数栈 */ crash> ps /* 查看系统崩溃时在运行的所有进程 */ crash> set 3016
linux-centos 程序崩溃没有core文件
gaga392464782的专栏
08-22 9563
最近在centos6.5系统上遇到程序疑似崩溃但是没有发现崩溃文件的问题,后来经过排查发现,竟然是崩溃后由于系统设置导致崩溃产生的core文件被移除的缘故。 1.怎么确认程序发生过崩溃:打开 /var/log/messages 文件(也可能是带着日期的类似messages-xxxxx这样的文件),然后在这个文件里通过关键字查找,关键字可以是你的程序名(我的是pausdk),如下图: lin...
GDB在线调试与Coredump分析: Native Crash处理
虽然在这个描述中没有具体提到Coredump分析,但通常在发生native crash时,如果系统配置正确,会产生一个coredump文件,包含崩溃时进程的内存映像。开发者可以使用GDB加载这个coredump文件,结合目标程序的调试信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值